Nome del virus:BDS/Hupigon.BO
Scoperto:02/08/2005
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:347.272 Byte
Somma di controllo MD5:b5ca37ed32410574fbc5fa1aca343259
Versione VDF:6.31.1.2

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Backdoor.Graybird.K
   •  Mcafee: BackDoor-ARR.svr
   •  Kaspersky: Backdoor.Win32.Hupigon.bo
   •  VirusBuster: Backdoor.Hupigon.AB!AU
   •  Bitdefender: Backdoor.Hupigon.BO


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\Vrwx.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\Deleteme.bat Viene eseguito ulteriormente dopo che è stato completamente creato.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Windows Video"
   • "ObjectName"="LocalSystem"
   • "Description"="ΪϵͳÌṩ±ØÒªµÄ·þÎñ"

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
     00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
     00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
     05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
     20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
     00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
     00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\Videorwx]
   • "ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
      5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,56,00,72,00,77,\
      00,78,00,2e,00,65,00,78,00,65,00,20,00,2d,00,4e,00,65,00,74,00,53,00,61,00,\
      74,00,61,00,00,00

 Backdoor Le seguenti porte sono aperte:

%file eseguiti% sulla porta TCP 1983 con lo scopo di procurarsi delle possibili backdoor.
%file eseguiti% sulla porta UDP 1981 con lo scopo di procurarsi delle possibili backdoor.

 Varie Mutex:
Crea il seguente Mutex:
   • eed3bd3a-a1ad-4e99-987b-d7cb3fcfa7f0

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Victor Tone su martedì 2 agosto 2005
Descrizione aggiornata da Victor Tone su venerdì 26 agosto 2005

Indietro . . . .