Nume:BDS/Hupigon.KM
Descoperit pe data de:09/11/2005
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:382.976 Bytes
MD5:99092bbe3a758b5c5187beabc022a5a2
Versiune VDF:6.32.00.110

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.Hupigon.km
   •  TrendMicro: BKDR_GRAYBIRD.DJ
   •  Sophos: Troj/Feutel-Gen
   •  Bitdefender: Backdoor.Hupigon.E


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\G_Server.exe



Sterge copia initiala a virusului.



Sterge urmatorul fisier:
   • %WINDIR%\uninstal.bat



Sunt create fisierele:

– %WINDIR%\uninstal.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\G_Server.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Feutel.A.2

– %WINDIR%\G_ServerKey.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Hupigon.FA.1




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • vip.hui**********.com:8004/user/41365.htm
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=hex:%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=hex(2):%WINDIR%\G_Server.exe
     "DisplayName"="Gray_Pigeon_Server"
     "ObjectName"="LocalSystem"
     "Description"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000]
   • "Service"="GrayPigeonServer"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="GrayPigeonServer"



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   Vechea valoare:
   • "Completed"=hex:%setarile utilizatorului%
   Noua valoare:
   • "Completed"=hex:01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • "Check_Associations"="%setarile utilizatorului%"
   Noua valoare:
   • "Check_Associations"="no"

 Backdoor Servere contactate:
Urmatorul:
   • %adresa IP din fisierul descarcat%:8000



Trimte informatii despre:
    • Captura ecranului
    • Numele sistemului
    • Spatiu liber pe disc
    • ID-ul platformei


Posibilitati de control la distanta:
    • descarcare fisier
    • Porneste keylog

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: G_Server.dll

    Numele procesului:
   • IEXPLORE.exe



–  Injecteaza fisierul urmator intr-un proces: G_ServerKey.dll

    Numele procesului:
   • %toate procesele active%


 Alte informatii Mutex:
Creeaza urmatorii mutecsi:
   • GPigeon5_Shared_HIDE
   • GPigeon5_Shared
   • GPigeon5_Shared_09-12-2005

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Iulia Diaconescu le jeudi 10 novembre 2005
Description mise à jour par Iulia Diaconescu le mardi 29 novembre 2005

Retour . . . .