dllhost.exe〔图解〕.docVIP

dllhost.exe（图解） 2009-02-25 来源:整理 网络安全提示：dllhost.exe是运行COM+的组件，即COM代理，运行Windows中的Web和FTP服务器必须有这个东西。例如运行：江民杀毒软件 灰鸽子dllhost.exe病毒分析：1、文件释放：（1）在WINDOWS目录下释放病毒文件：dllhost.exe主体文件名：dllhost.exe文件大小: 762368 bytesMD5: 9825e84cab8476682e631403d1835981SHA1: 3bf7713c184d75ae39dc7fbbef5a4b83ab910d6c AVG报：BackDoor.Hupigon.LK卡巴斯基报：Backdoor.Win32.Hupigon.emvF-Secure报：Backdoor.Win32.Hupigon.emvsetupss1.pif（2）在硬盘各分区根目录下创建autorun.inf和隐藏文件夹runauto..runauto..文件夹中包含病毒文件autorun.pifautorun.inf文件内容：[AutoRun]open=RUNAUT~1\autorun.pifshell\1=打开(O)shell\1\Command=RUNAUT~1\autorun.pifshell\2\=浏览(B)shell\2\Command=RUNAUT~1\autorun.pifshellexecute=RUNAUT~1\autorun.pif（runauto..文件夹及其中的病毒文件autorun.pif需用IceSword才能删除）。2、通过IFEO劫持将系统程序cmd.exe、msconfig.exe、regedit.exe、regedt32.exe导向病毒文件setuprs1.exe和xxxx.pif（X为随机数字）。3、病毒会关闭autorans.exe窗口。但因其动作较慢，中招后，用户还是可以运行autorans.exe，发现这只鸽子的IFEO劫持项（图1）。dllhost.exe会反复写入这几个注册表项4、IceSword进程列表中可见病毒进程%windows%\dllhost.exe（非隐藏）。但“禁止进程创建”前，此病毒进程无法结束（图2）。5、这只鸽子感染U盘，且可通过U盘传播。U盘根目录下的病毒文件内容与硬盘各分区根目录下的病毒文件内容相同。Backdoor.Win32.Hupigon专杀方法：1、禁止进程创建。2、结束病毒进程%windows%\dllhost.exe。3、删除病毒文件：%windows%\dllhost.exe%windows%\setuprs1.exeX:\runauto..\autorun.pif（X代表各硬盘分区以及U盘盘符）X:\runauto..文件夹4、删除图3所示的病毒服务项（SRENG日志中也可见此服务项）。此外，HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支下的C:\\windows\\dllhost.exe=C:\\windows \\dllhost.exe:*:Enabled:dllhost.exe也要删除。5、删除病毒添加的IFEO项（图1）。6、取消IceSword的“禁止进程创建”。