Nom:BDS/Hupigon.ccy.28
La date de la découverte:27/10/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:400.196 Octets
Somme de contrôle MD5:23f7553942c25922bfe068c20d2f1ffd
Version VDF:6.36.00.175
Version IVDF:6.36.00.194

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: BackDoor-AWQ.b
   •  Kaspersky: Backdoor.Win32.Hupigon.ccy
   •  F-Secure: Backdoor.Win32.Hupigon.ccy
   •  Eset: Win32/Hupigon


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchost.com



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%WINDIR%\svchost.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Hupigon.E.1

%WINDIR%\svchost_Hook.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Hupigon.BB.1

%WINDIR%\svchostKey.DLL Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Hupigon.BB

%WINDIR%\uninstal.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • i.6to23.com/lovelyairong/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.com"
   • "DisplayName"="Gray_Pigeon_Server"
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • "Check_Associations"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Check_Associations"="yes"

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   La nouvelle valeur:
   • "Completed"=hex:01,00,00,00

 Porte dérobée Serveur de contact:
Le suivant:
   • %URL du fichier téléchargé%

En conséquence la possibilité de contrôle à distance est fournie.

Capacités d'accès à distance:
    • Commence le keylog

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: svchost.DLL

    Nom du processus :
   • iexplore.exe



–  Il injecte le fichier suivant dans un processus: svchostKey.DLL

    Nom du processus :
   • %tous les processus en exécution"



–  Il injecte le fichier suivant dans un processus: svchost_Hook.DLL

    Nom du processus :
   • %tous les processus en exécution"


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers


La méthode utilisée:
    • Caché de Windows API

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack

Description insérée par Adriana Popa le mercredi 29 novembre 2006
Description mise à jour par Adriana Popa le mercredi 29 novembre 2006

Retour . . . .