Nom:BDS/Hupigon.KM
La date de la découverte:09/11/2005
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:382.976 Octets
Somme de contrôle MD5:99092bbe3a758b5c5187beabc022a5a2
Version VDF:6.32.00.110

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Hupigon.km
   •  TrendMicro: BKDR_GRAYBIRD.DJ
   •  Sophos: Troj/Feutel-Gen
   •  Bitdefender: Backdoor.Hupigon.E


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\G_Server.exe



Il supprime sa propre copie, exécutée initialement



Il supprime le fichier suivant:
   • %WINDIR%\uninstal.bat



Les fichiers suivants sont créés:

%WINDIR%\uninstal.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%WINDIR%\G_Server.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Feutel.A.2

%WINDIR%\G_ServerKey.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Hupigon.FA.1




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • vip.hui**********.com:8004/user/41365.htm
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=hex:%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=hex(2):%WINDIR%\G_Server.exe
     "DisplayName"="Gray_Pigeon_Server"
     "ObjectName"="LocalSystem"
     "Description"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000]
   • "Service"="GrayPigeonServer"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="GrayPigeonServer"



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   L'ancienne valeur:
   • "Completed"=hex:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Completed"=hex:01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Check_Associations"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "Check_Associations"="no"

 Porte dérobée Serveur de contact:
Le suivant:
   • %l'adresse IP prise du fichier téléchargé%:8000



Il envoie de l'information au sujet de:
    • Capture d'écran
    • Nom de l'ordinateur
    • Espace libre sur le disque dur
    • L'ID de la plateforme


Capacités d'accès à distance:
    • Télécharger un fichier
    • Commence le keylog

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: G_Server.dll

    Nom du processus :
   • IEXPLORE.exe



–  Il injecte le fichier suivant dans un processus: G_ServerKey.dll

    Nom du processus :
   • %tous les processus en exécution"


 Informations divers Mutex:
Il crée les Mutex suivants:
   • GPigeon5_Shared_HIDE
   • GPigeon5_Shared
   • GPigeon5_Shared_09-12-2005

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Iulia Diaconescu le jeudi 10 novembre 2005
Description mise à jour par Iulia Diaconescu le mardi 29 novembre 2005

Retour . . . .