Nombre:BDS/Hupigon.KM
Descubierto:09/11/2005
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:382.976 Bytes
Suma de control MD5:99092bbe3a758b5c5187beabc022a5a2
Versión del VDF:6.32.00.110

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Backdoor.Win32.Hupigon.km
   •  TrendMicro: BKDR_GRAYBIRD.DJ
   •  Sophos: Troj/Feutel-Gen
   •  Bitdefender: Backdoor.Hupigon.E


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\G_Server.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %WINDIR%\uninstal.bat



Crea los siguientes ficheros:

%WINDIR%\uninstal.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\G_Server.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Feutel.A.2

%WINDIR%\G_ServerKey.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Hupigon.FA.1




Intenta descargar un fichero:

– La dirección es la siguiente:
   • vip.hui**********.com:8004/user/41365.htm
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=hex(2):%WINDIR%\G_Server.exe
     "DisplayName"="Gray_Pigeon_Server"
     "ObjectName"="LocalSystem"
     "Description"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000]
   • "Service"="GrayPigeonServer"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="GrayPigeonServer"



Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   Valor anterior:
   • "Completed"=hex:%configuración definida por el usuario%
   Nuevo valor:
   • "Completed"=hex:01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Check_Associations"="%configuración definida por el usuario%"
   Nuevo valor:
   • "Check_Associations"="no"

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • %la dirección IP tomada del fichero descargado% :8000



Envía informaciones acerca de:
    • Captura de pantalla
    • Nombre del ordenador
    • Espacio libre en el disco
    • ID de la plataforma


Capabilidades de control remoto:
    • Descargar fichero
    • Iniciar la captura de pulsaciones de teclado

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: G_Server.dll

    Nombre del proceso:
   • IEXPLORE.exe



–  Inyecta el siguiente fichero en un proceso: G_ServerKey.dll

    Nombre del proceso:
   • %todos los procesos activos%


 Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • GPigeon5_Shared_HIDE
   • GPigeon5_Shared
   • GPigeon5_Shared_09-12-2005

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Iulia Diaconescu el jueves 10 de noviembre de 2005
Descripción actualizada por Iulia Diaconescu el martes 29 de noviembre de 2005

Volver . . . .