Name:BDS/Hupigon.BO
Entdeckt am:02/08/2005
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:347.272 Bytes
MD5 Prüfsumme:b5ca37ed32410574fbc5fa1aca343259
VDF Version:6.31.1.2

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Backdoor.Graybird.K
   •  Mcafee: BackDoor-ARR.svr
   •  Kaspersky: Backdoor.Win32.Hupigon.bo
   •  VirusBuster: Backdoor.Hupigon.AB!AU
   •  Bitdefender: Backdoor.Hupigon.BO


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\Vrwx.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%SYSDIR%\Deleteme.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Windows Video"
   • "ObjectName"="LocalSystem"
   • "Description"="ΪϵͳÌṩ±ØÒªµÄ·þÎñ"

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
     00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
     00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
     05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
     20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
     00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
     00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx]
   • "ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
      5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,56,00,72,00,77,\
      00,78,00,2e,00,65,00,78,00,65,00,20,00,2d,00,4e,00,65,00,74,00,53,00,61,00,\
      74,00,61,00,00,00

 Hintertür Die folgenden Ports werden geöffnet:

%ausgeführte Datei% am TCP Port 1983 um Backdoor Funktion zur Verfügung zu stellen.
%ausgeführte Datei% am UDP Port 1981 um Backdoor Funktion zur Verfügung zu stellen.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • eed3bd3a-a1ad-4e99-987b-d7cb3fcfa7f0

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Victor Tone am Dienstag, 2. August 2005
Die Beschreibung wurde geändert von Victor Tone am Freitag, 26. August 2005

zurück . . . .