Description complète

Nom:	BDS/Hupigon.pi.2
La date de la découverte:	06/12/2005
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	932.096 Octets
Somme de contrôle MD5:	1a3cd56d52f007d9ba012b6a125e30db
Version VDF:	6.32.01.11

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Mcafee: BackDoor-AWQ.b
   • Bitdefender: Backdoor.Hupigon.E

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\internet.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
• %TEMPDIR%\mc%numéro hexadécimal%.tmp

– %WINDIR%\internet.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Feutel.A.2

– %WINDIR%\internet_HOOk.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Hupigon.MK.2

Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\internet]
   • Type"=dword:00000110
   • Start"=dword:00000002
   • ErrorControl = dword:00000000
   • ImagePath = %WINDIR%\internet.exe
   • DisplayName = internet
   • ObjectName = LocalSystem
   • Description = ÏµÍ³¹¤¾ß

– [HKLM\SYSTEM\CurrentControlSet\Services\internet\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\internet\Enum]
   • 0 = Root\\LEGACY_INTERNET\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INTERNET]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INTERNET\0000]
   • Service"="internet"
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = internet

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INTERNET\0000\
   Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = internet

– [HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv]
   • Type = dword:00000001
   • ErrorControl = dword:00000000
   • Start = dword:00000004
   • ImagePath = \??\%TEMPDIR%\mc%numéro hexadécimal%.tmp
   • DeleteFlag"=dword:00000001

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   • Completed = hex:01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • Check_Associations = no

Porte dérobée Serveur de contact:
Le suivant:
• vip.huigezi.com/user/**********

En conséquence la possibilité de contrôle à distance est fournie.

L'injection du code viral dans d'autres processus – Il injecte une routine porte dérobée dans un processus:

    Nom du processus:
   • iexplore.exe

– Il injecte le fichier suivant dans un processus: %WINDIR%\internet_HOOk.DLL

    Nom du processus :
   • %tous les processus en exécution"

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Ses propres fichiers

La méthode utilisée:
• Caché de Windows API

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Description insérée par Andrei Gherman le jeudi 2 mars 2006
Description mise à jour par Andrei Gherman le jeudi 2 mars 2006

Retour . . . .