Name:BDS/Hupigon.bm.1
Entdeckt am:14/03/2006
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:762.880 Bytes
MD5 Prüfsumme:78ca704d9450e10D2d5555ee75dfcbf3
VDF Version:6.33.00.165

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Backdoor.Graybird
   •  Mcafee: BackDoor-AWQ
   •  Bitdefender: Backdoor.Graybird.GH


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\caner.exe



Es werden folgende Dateien erstellt:

%WINDIR%\bootstat.dat
%WINDIR%\jautoexp.dat
%WINDIR%\unins000.dat



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • www.gxceo.com/**********

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\CanerServer
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\Caner.exe
   • "DisplayName"="CanerServer"
   • "ObjectName"="LocalSystem"
   • "Description"="ϵͳÄÚ´æ¼à¿Ø·þÎñ"

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Enum]
   • "0"="Root\\LEGACY_CANERSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Hintertür Kontaktiert Server:
Den folgenden:
   • %IP Adresse aus heruntergeladener Datei%

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • IEXPLORER.EXE


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • Hacker.com.cn_MUTEX

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Victor Tone am Dienstag, 14. März 2006
Die Beschreibung wurde geändert von Victor Tone am Mittwoch, 15. März 2006

zurück . . . .