Nombre:BDS/Hupigon.chz
Descubierto:12/09/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:708.608 Bytes
Suma de control MD5:9c8d5c674889597f7f5726c0c794ef04
Versión del VDF:6.35.01.215
Versión del IVDF:6.35.01.219 - miércoles 13 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: BackDoor-AWQ
   •  Kaspersky: Backdoor.Win32.Hupigon.chz
   •  TrendMicro: BKDR_HUPIGON.BMF
   •  F-Secure: Backdoor.Win32.Hupigon.chz
   •  Eset: Win32/Hupigon.CHZ


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta un fichero
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\Hacker.com.cn.exe



Crea el siguiente fichero:

%WINDIR%\uninstal.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • k2u.512j.com/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\winfile system protect]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\Hacker.com.cn.exe"
   • "DisplayName"="winfile system protect"
   • "ObjectName"="LocalSystem"
   • "Description"="ϵͳÎļþ±£»¤"

– [HKLM\SYSTEM\CurrentControlSet\Services\winfile system protect\
   Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\winfile system protect\
   Enum]
   • "0"="Root\\LEGACY_WINFILE_SYSTEM_PROTECT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • %URL del fichero descargado%

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Informaciones acerca del sistema operativo Windows

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • iexplore.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASProtect

Descripción insertada por Adriana Popa el jueves 26 de octubre de 2006
Descripción actualizada por Adriana Popa el viernes 27 de octubre de 2006

Volver . . . .