Name:BDS/Hupigon.chy
Entdeckt am:12/09/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:833.536 Bytes
MD5 Prüfsumme:4052dc2493d0b00af39524765d4c6119
VDF Version:6.35.01.215
IVDF Version:6.35.01.219 - Mittwoch, 13. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: BackDoor-AWQ
   •  Kaspersky: Backdoor.Win32.Hupigon.chy
   •  TrendMicro: BKDR_HUPIGON.BJX
   •  F-Secure: Backdoor.Win32.Hupigon.chy
   •  Eset: Win32/Hupigon.CHY


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\server.bat



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%SYSDIR%\SVKP.sys
%WINDIR%\uninstal.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\SVKP.sys"
   • "DisplayName"="SVKP"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
   • "0"="Root\\LEGACY_SVKP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\server.bat"
   • "DisplayName"="DNS Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Ö§³Ö´Ë¼ÆËã»úµÄ½âÎöºÍ»º³åÓòÃûϵͳ(DNS)·þÎñ¡£Èç¹û´Ë·þÎñÍ£Ö¹£¬½âÎöºÍ»º³åÓòÃûϵͳ(DNS)·þÎñ¹¦Äܽ«²»¿ÉÓá£"

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Enum]
   • "0"="Root\\LEGACY_BNS_SERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Hintertür Die folgenden Ports werden geöffnet:

– iexplore.exe am TCP Port 8080 um einen Proxy Server zur Verfügung zu stellen.
– iexplore.exe am TCP Port 1080


Kontaktiert Server:
Den folgenden:
   • syrus.3322.**********:8000

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Computername
    • Information über das Windows Betriebsystem

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • iexplore.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • SVKP

Die Beschreibung wurde erstellt von Adriana Popa am Donnerstag, 26. Oktober 2006
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 27. Oktober 2006

zurück . . . .