Name:BDS/Hupigon.ablm
Entdeckt am:11/12/2008
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:378.552 Bytes
MD5 Prüfsumme:2ecbac909b205b5f0d7bd10cb3daccb9
IVDF Version:7.01.00.224 - Donnerstag, 11. Dezember 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Pakes.mfa
   •  F-Secure: Trojan.Win32.Pakes.mfa


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\Norton_win32.exe



Es wird folgende Datei erstellt:

%TEMPDIR%\%zufällige Buchstabenkombination% Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SYSTEM\CurrentControlSet\Services\Norton_win32]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\Norton_win32.exe
   • "DisplayName"="Norton_win32"
   • "ObjectName"="LocalSystem"
   • "Description"="%chinesischer Text%"

 Hintertür Kontaktiert Server:
Den folgenden:
   • 11826.**********helper.com:1588

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • svchost.exe


 Diverses Anti Debugging
Es prüft ob Programme aktiv sind welche eine der folgenden Zeichenketten enthalten:
   • \\.\SICE
   • \\.\SIWVID
   • \\.\NTICE
   • \\.\REGSYS
   • \\.\REGVXG
   • \\.\FILEVXG
   • \\.\FILEM
   • \\.\TRW
   • \\.\ICEEXT
   • OLLYDBG
   • FileMonClass

War dies erfolgreich wird die Malware sofort beendet.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Donnerstag, 18. Dezember 2008
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 18. Dezember 2008

zurück . . . .