Nome del virus:BDS/Hupigon.KM
Scoperto:09/11/2005
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:382.976 Byte
Somma di controllo MD5:99092bbe3a758b5c5187beabc022a5a2
Versione VDF:6.32.00.110

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Hupigon.km
   •  TrendMicro: BKDR_GRAYBIRD.DJ
   •  Sophos: Troj/Feutel-Gen
   •  Bitdefender: Backdoor.Hupigon.E


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\G_Server.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella il seguente file:
   • %WINDIR%\uninstal.bat



Vengono creati i seguenti file:

%WINDIR%\uninstal.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
%WINDIR%\G_Server.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Feutel.A.2

%WINDIR%\G_ServerKey.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Hupigon.FA.1




Prova a scaricare un file:

– La posizione è la seguente:
   • vip.hui**********.com:8004/user/41365.htm
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=hex(2):%WINDIR%\G_Server.exe
     "DisplayName"="Gray_Pigeon_Server"
     "ObjectName"="LocalSystem"
     "Description"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000]
   • "Service"="GrayPigeonServer"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="Gray_Pigeon_Server"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER\
   0000\Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="GrayPigeonServer"



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   Valore precedente:
   • "Completed"=hex:%impostazioni definite dell'utente%
   Nuovo valore:
   • "Completed"=hex:01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Check_Associations"="%impostazioni definite dell'utente%"
   Nuovo valore:
   • "Check_Associations"="no"

 Backdoor Contatta il server:
Il seguente:
   • %Indirizzo IP recuperato dal file scaricato%:8000



Invia informazioni riguardanti:
    • Immagine “catturata” dallo schermo
    • Nome del computer
    • Spazio libero su disco
    • ID della piattaforma


Capacità di controllo remoto:
    • Download di file
    • Inizia keylog

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: G_Server.dll

    Nome del processo:
   • IEXPLORE.exe



–  Inserisce il seguente file in un processo: G_ServerKey.dll

    Nome del processo:
   • %tutti i processi in esecuzione%


 Varie Mutex:
Crea i seguenti Mutex:
   • GPigeon5_Shared_HIDE
   • GPigeon5_Shared
   • GPigeon5_Shared_09-12-2005

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Iulia Diaconescu su giovedì 10 novembre 2005
Descrizione aggiornata da Iulia Diaconescu su martedì 29 novembre 2005

Indietro . . . .