BDS/Hupigon.KM - Backdoor Server

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Hupigon.KM
Entdeckt am:	09/11/2005
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	382.976 Bytes
MD5 Prüfsumme:	99092bbe3a758b5c5187beabc022a5a2
VDF Version:	6.32.00.110 - Mon, 24 Oct 2005 12:57 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Backdoor.Win32.Hupigon.km
   • TrendMicro: BKDR_GRAYBIRD.DJ
   • Sophos: Troj/Feutel-Gen
   • Bitdefender: Backdoor.Hupigon.E

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\G_Server.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Folgende Datei wird gelöscht:
   • %WINDIR%\uninstal.bat

Es werden folgende Dateien erstellt:

– %WINDIR%\uninstal.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
– %WINDIR%\G_Server.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Feutel.A.2

– %WINDIR%\G_ServerKey.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Hupigon.FA.1

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • vip.hui**********.com:8004/user/41365.htm
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=hex:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=hex(2):%windir%\G_Server.exe
     "DisplayName"="Gray_Pigeon_Server"
     "ObjectName"="LocalSystem"
     "Description"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000]
   • "Service"="GrayPigeonServer"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="GrayPigeonServer"

Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   Alter Wert:
   • "Completed"=hex:%Einstellungen des Benutzers%
   Neuer Wert:
   • "Completed"=hex:01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Check_Associations"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Check_Associations"="no"

Hintertür Kontaktiert Server:
Den folgenden:
   • %IP Adresse aus heruntergeladener Datei%:8000

Sende Informationen über:
    • Speichern der Bildschirmanzeige
    • Computername
    • Freier Festplattenplatz
    • Plattform ID

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Starte Tastaturüberwachung

Injektion – Es injiziert folgende Datei in einen Prozess: G_Server.dll

    Prozessname:
   • IEXPLORE.exe

– Es injiziert folgende Datei in einen Prozess: G_ServerKey.dll

    Prozessname:
   • %alle laufenden Prozesse%

Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • GPigeon5_Shared_HIDE
   • GPigeon5_Shared
   • GPigeon5_Shared_09-12-2005

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Thu, 10 Nov 2005 15:28 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Tue, 29 Nov 2005 11:55 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück