Nombre:BDS/Hupigon.ablm
Descubierto:11/12/2008
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:378.552 Bytes
Suma de control MD5:2ecbac909b205b5f0d7bd10cb3daccb9
Versión del IVDF:7.01.00.224 - jueves 11 de diciembre de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.Pakes.mfa
   •  F-Secure: Trojan.Win32.Pakes.mfa


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\Norton_win32.exe



Crea el siguiente fichero:

%TEMPDIR%\%serie de caracteres aleatorios% Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Norton_win32]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\Norton_win32.exe
   • "DisplayName"="Norton_win32"
   • "ObjectName"="LocalSystem"
   • "Description"="%texto chino%"

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • 11826.**********helper.com:1588

De esta forma, puede enviar informaciones y obtener el control remoto.

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • svchost.exe


 Informaciones diversas Técnicas anti-debugging
Busca programas en ejecución que incluyan una de las siguientes series de caracteres:
   • \\.\SICE
   • \\.\SIWVID
   • \\.\NTICE
   • \\.\REGSYS
   • \\.\REGVXG
   • \\.\FILEVXG
   • \\.\FILEM
   • \\.\TRW
   • \\.\ICEEXT
   • OLLYDBG
   • FileMonClass

Al encontrarlos, termina su ejecución de inmediato.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Thomas Wegele el jueves 18 de diciembre de 2008
Descripción actualizada por Thomas Wegele el jueves 18 de diciembre de 2008

Volver . . . .