BDS/Hupigon.cia - Backdoor Server

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Hupigon.cia
Entdeckt am:	12/09/2006
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	393.728 Bytes
MD5 Prüfsumme:	d74c79a4c815e086a1b90033988cea3b
VDF Version:	6.35.01.215
IVDF Version:	6.35.01.219 - Wed, 13 Sep 2006 11:05 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: BackDoor-AWQ
   • Kaspersky: Backdoor.Win32.Hupigon.cia
   • TrendMicro: BKDR_HUPIGON.BMI
   • F-Secure: Backdoor.Win32.Hupigon.cia
   • Eset: Win32/Hupigon.CIA

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\Hacker.com

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %WINDIR%\uninstal.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
– %SYSDIR%\SVKP.sys

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="\??\%SYSDIR%\SVKP.sys"
   • "DisplayName"="SVKP"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
   • "0"="Root\\LEGACY_SVKP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Hacker.com]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\Hacker.com"
   • "DisplayName"="Hacker.com"
   • "ObjectName"="LocalSystem"
   • "Description"="·þÎñ¶Ë³ÌÐò"

– [HKLM\SYSTEM\CurrentControlSet\Services\Hacker.com\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\Hacker.com\Enum]
   • "0"="Root\\LEGACY_HACKER.COM\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Hintertür Kontaktiert Server:
Den folgenden:
• mule63.3322.**********:8000

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• iexplore.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• SVKP

Kurzfassung hier.

Beschreibung erstellt von Adriana Popa am Tue, 10 Oct 2006 15:59 (GMT+1)
Beschreibung geändert von Adriana Popa am Wed, 11 Oct 2006 11:25 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück