Nom:BDS/Hupigon.bm.1
La date de la découverte:14/03/2006
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:762.880 Octets
Somme de contrôle MD5:78ca704d9450e10D2d5555ee75dfcbf3
Version VDF:6.33.00.165

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Graybird
   •  Mcafee: BackDoor-AWQ
   •  Bitdefender: Backdoor.Graybird.GH


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\caner.exe



Les fichiers suivants sont créés:

%WINDIR%\bootstat.dat
%WINDIR%\jautoexp.dat
%WINDIR%\unins000.dat



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • www.gxceo.com/**********

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\CanerServer
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\Caner.exe
   • "DisplayName"="CanerServer"
   • "ObjectName"="LocalSystem"
   • "Description"="ϵͳÄÚ´æ¼à¿Ø·þÎñ"

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Enum]
   • "0"="Root\\LEGACY_CANERSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Porte dérobée Serveur de contact:
Le suivant:
   • %l'adresse IP prise du fichier téléchargé%

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • IEXPLORER.EXE


 Informations divers Mutex:
Il crée le Mutex suivant:
   • Hacker.com.cn_MUTEX

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.

Description insérée par Victor Tone le mardi 14 mars 2006
Description mise à jour par Victor Tone le mercredi 15 mars 2006

Retour . . . .