Nom:BDS/Hupigon.pi.2
La date de la découverte:06/12/2005
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:932.096 Octets
Somme de contrôle MD5:1a3cd56d52f007d9ba012b6a125e30db
Version VDF:6.32.01.11

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: BackDoor-AWQ.b
   •  Bitdefender: Backdoor.Hupigon.E


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\internet.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\mc%numéro hexadécimal%.tmp

%WINDIR%\internet.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Feutel.A.2

%WINDIR%\internet_HOOk.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Hupigon.MK.2

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\internet]
   • Type"=dword:00000110
   • Start"=dword:00000002
   • ErrorControl = dword:00000000
   • ImagePath = %WINDIR%\internet.exe
   • DisplayName = internet
   • ObjectName = LocalSystem
   • Description = ϵͳ¹¤¾ß

– [HKLM\SYSTEM\CurrentControlSet\Services\internet\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\internet\Enum]
   • 0 = Root\\LEGACY_INTERNET\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INTERNET]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INTERNET\0000]
   • Service"="internet"
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = internet

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INTERNET\0000\
   Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = internet

– [HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv]
   • Type = dword:00000001
   • ErrorControl = dword:00000000
   • Start = dword:00000004
   • ImagePath = \??\%TEMPDIR%\mc%numéro hexadécimal%.tmp
   • DeleteFlag"=dword:00000001



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   • Completed = hex:01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • Check_Associations = no

 Porte dérobée Serveur de contact:
Le suivant:
   • vip.huigezi.com/user/**********

En conséquence la possibilité de contrôle à distance est fournie.

 L'injection du code viral dans d'autres processus – Il injecte une routine porte dérobée dans un processus:

    Nom du processus:
   • iexplore.exe



–  Il injecte le fichier suivant dans un processus: %WINDIR%\internet_HOOk.DLL

    Nom du processus :
   • %tous les processus en exécution"


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers


La méthode utilisée:
    • Caché de Windows API

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.

Description insérée par Andrei Gherman le jeudi 2 mars 2006
Description mise à jour par Andrei Gherman le jeudi 2 mars 2006

Retour . . . .