Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Hupigon.BO
La date de la découverte:13/12/2012
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:347.272 Octets
Somme de contrôle MD5:b5ca37ed32410574fbc5fa1aca343259
Version VDF:7.11.53.216

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Graybird.K
   •  Mcafee: BackDoor-ARR.svr
   •  Kaspersky: Backdoor.Win32.Hupigon.bo
   •  VirusBuster: Backdoor.Hupigon.AB!AU
   •  Bitdefender: Backdoor.Hupigon.BO


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\Vrwx.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%SYSDIR%\Deleteme.bat Ensuite, il est exécuté après avoir été completment crée.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Windows Video"
   • "ObjectName"="LocalSystem"
   • "Description"="ΪϵͳÌṩ±ØÒªµÄ·þÎñ"

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
     00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
     00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
     05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
     20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
     00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
     00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx]
   • "ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
      5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,56,00,72,00,77,\
      00,78,00,2e,00,65,00,78,00,65,00,20,00,2d,00,4e,00,65,00,74,00,53,00,61,00,\
      74,00,61,00,00,00

 Porte dérobée Les ports suivants sont ouverts:

%le fichier exécuté% sur le port TCP 1983 afin de fournir de capacités de porte dérobée
%le fichier exécuté% sur le port UDP 1981 afin de fournir de capacités de porte dérobée

 Informations divers Mutex:
Il crée le Mutex suivant:
   • eed3bd3a-a1ad-4e99-987b-d7cb3fcfa7f0

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Victor Tone le mardi 2 août 2005
Description mise à jour par Victor Tone le vendredi 26 août 2005

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.