Nombre:BDS/Hupigon.bm.1
Descubierto:14/03/2006
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:762.880 Bytes
Suma de control MD5:78ca704d9450e10D2d5555ee75dfcbf3
Versión del VDF:6.33.00.165

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Backdoor.Graybird
   •  Mcafee: BackDoor-AWQ
   •  Bitdefender: Backdoor.Graybird.GH


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\caner.exe



Crea los siguientes ficheros:

%WINDIR%\bootstat.dat
%WINDIR%\jautoexp.dat
%WINDIR%\unins000.dat



Intenta descargar un fichero:

– La dirección es la siguiente:
   • www.gxceo.com/**********

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\CanerServer
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\Caner.exe
   • "DisplayName"="CanerServer"
   • "ObjectName"="LocalSystem"
   • "Description"="ϵͳÄÚ´æ¼à¿Ø·þÎñ"

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Enum]
   • "0"="Root\\LEGACY_CANERSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • %la dirección IP tomada del fichero descargado%

De esta forma, puede enviar informaciones y obtener el control remoto.

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • IEXPLORER.EXE


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • Hacker.com.cn_MUTEX

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Victor Tone el martes 14 de marzo de 2006
Descripción actualizada por Victor Tone el miércoles 15 de marzo de 2006

Volver . . . .