TR/Hupigon.JI - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Hupigon.JI
Entdeckt am:	18/10/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	300.360 Bytes
MD5 Prüfsumme:	19aa807b16c908f61e9e6ef8455c07a1
VDF Version:	6.36.00.61
IVDF Version:	6.36.00.75 - Tue, 03 Oct 2006 11:51 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: BackDoor-AWQ
   • Kaspersky: Backdoor.Win32.Hupigon.clu
   • Eset: Win32/Hupigon

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %PROGRAM FILES%\Common Files\InstallShield\Driver\1060\Intel 32\IDriverT.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es wird folgende Datei erstellt:

– %WINDIR%\uninstal.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Install Driver Table Manager\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Install Driver Table Manager]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%PROGRAM FILES%\Common Files\InstallShield\Driver\1060\Intel 32\IDriverT.exe"
     "DisplayName"="IDriver"
     "ObjectName"="LocalSystem"
     "Description"="Provides support for the Running Object Table for Install Shield Drivers"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Install Driver Table Manager\Enum]
   • "0"="Root\\LEGACY_INSTALL_DRIVER_TABLE_MANAGER\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_INSTALL_DRIVER_TABLE_MANAGER]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_INSTALL_DRIVER_TABLE_MANAGER\0000]
   • "Service"="Install Driver Table Manager"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="IDriver"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_INSTALL_DRIVER_TABLE_MANAGER\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Install Driver Table Manager"

Hintertür Kontaktiert Server:
Den folgenden:
• http://www.luckyy.vicp.net /**********

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.
Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Monica Ghitun am Wed, 18 Oct 2006 15:34 (GMT+1)
Beschreibung geändert von Andrei Ivanes am Mon, 06 Nov 2006 10:15 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück