Nombre:BDS/Hupigon.chy
Descubierto:12/09/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:833.536 Bytes
Suma de control MD5:4052dc2493d0b00af39524765d4c6119
Versión del VDF:6.35.01.215
Versión del IVDF:6.35.01.219 - miércoles 13 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: BackDoor-AWQ
   •  Kaspersky: Backdoor.Win32.Hupigon.chy
   •  TrendMicro: BKDR_HUPIGON.BJX
   •  F-Secure: Backdoor.Win32.Hupigon.chy
   •  Eset: Win32/Hupigon.CHY


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\server.bat



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\SVKP.sys
%WINDIR%\uninstal.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\SVKP.sys"
   • "DisplayName"="SVKP"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
   • "0"="Root\\LEGACY_SVKP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\server.bat"
   • "DisplayName"="DNS Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Ö§³Ö´Ë¼ÆËã»úµÄ½âÎöºÍ»º³åÓòÃûϵͳ(DNS)·þÎñ¡£Èç¹û´Ë·þÎñÍ£Ö¹£¬½âÎöºÍ»º³åÓòÃûϵͳ(DNS)·þÎñ¹¦Äܽ«²»¿ÉÓá£"

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Enum]
   • "0"="Root\\LEGACY_BNS_SERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor (Puerta trasera) Abre los siguientes puertos:

– iexplore.exe en el puerto TCP 8080 para funcionar como servidor proxy.
– iexplore.exe en el puerto TCP 1080


Servidor contactado:
La siguiente:
   • syrus.3322.**********:8000

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Informaciones acerca del sistema operativo Windows

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • iexplore.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • SVKP

Descripción insertada por Adriana Popa el jueves 26 de octubre de 2006
Descripción actualizada por Adriana Popa el viernes 27 de octubre de 2006

Volver . . . .