Nombre:BDS/Hupigon.ccy.28
Descubierto:27/10/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:400.196 Bytes
Suma de control MD5:23f7553942c25922bfe068c20d2f1ffd
Versión del VDF:6.36.00.175
Versión del IVDF:6.36.00.194

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: BackDoor-AWQ.b
   •  Kaspersky: Backdoor.Win32.Hupigon.ccy
   •  F-Secure: Backdoor.Win32.Hupigon.ccy
   •  Eset: Win32/Hupigon


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\svchost.com



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%WINDIR%\svchost.DLL Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Hupigon.E.1

%WINDIR%\svchost_Hook.DLL Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Hupigon.BB.1

%WINDIR%\svchostKey.DLL Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Hupigon.BB

%WINDIR%\uninstal.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • i.6to23.com/lovelyairong/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.com"
   • "DisplayName"="Gray_Pigeon_Server"
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Check_Associations"=%configuración definida por el usuario%
   Nuevo valor:
   • "Check_Associations"="yes"

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   Nuevo valor:
   • "Completed"=hex:01,00,00,00

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • %URL del fichero descargado%

De esta forma obtiene el control remoto.

Capabilidades de control remoto:
    • Iniciar la captura de pulsaciones de teclado

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: svchost.DLL

    Nombre del proceso:
   • iexplore.exe



–  Inyecta el siguiente fichero en un proceso: svchostKey.DLL

    Nombre del proceso:
   • %todos los procesos activos%



–  Inyecta el siguiente fichero en un proceso: svchost_Hook.DLL

    Nombre del proceso:
   • %todos los procesos activos%


 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propios ficheros


Método empleado:
    • Oculto en Windows API

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASPack

Descripción insertada por Adriana Popa el miércoles 29 de noviembre de 2006
Descripción actualizada por Adriana Popa el miércoles 29 de noviembre de 2006

Volver . . . .