Nom:BDS/Hupigon.chy
La date de la découverte:12/09/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:833.536 Octets
Somme de contrôle MD5:4052dc2493d0b00af39524765d4c6119
Version VDF:6.35.01.215
Version IVDF:6.35.01.219 - mercredi 13 septembre 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: BackDoor-AWQ
   •  Kaspersky: Backdoor.Win32.Hupigon.chy
   •  TrendMicro: BKDR_HUPIGON.BJX
   •  F-Secure: Backdoor.Win32.Hupigon.chy
   •  Eset: Win32/Hupigon.CHY


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\server.bat



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\SVKP.sys
%WINDIR%\uninstal.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\SVKP.sys"
   • "DisplayName"="SVKP"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
   • "0"="Root\\LEGACY_SVKP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\server.bat"
   • "DisplayName"="DNS Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Ö§³Ö´Ë¼ÆËã»úµÄ½âÎöºÍ»º³åÓòÃûϵͳ(DNS)·þÎñ¡£Èç¹û´Ë·þÎñÍ£Ö¹£¬½âÎöºÍ»º³åÓòÃûϵͳ(DNS)·þÎñ¹¦Äܽ«²»¿ÉÓá£"

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Enum]
   • "0"="Root\\LEGACY_BNS_SERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Porte dérobée Les ports suivants sont ouverts:

– iexplore.exe sur le port TCP 8080 afin de fonctionner comme serveur proxy.
– iexplore.exe sur le port TCP 1080


Serveur de contact:
Le suivant:
   • syrus.3322.**********:8000

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Information sur le système d'exploitation Windows

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • iexplore.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • SVKP

Description insérée par Adriana Popa le jeudi 26 octobre 2006
Description mise à jour par Adriana Popa le vendredi 27 octobre 2006

Retour . . . .