Nume:BDS/Hupigon.chy
Descoperit pe data de:12/09/2006
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:833.536 Bytes
MD5:4052dc2493d0b00af39524765d4c6119
Versiune VDF:6.35.01.215
Versiune IVDF:6.35.01.219 - mercoledì 13 settembre 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: BackDoor-AWQ
   •  Kaspersky: Backdoor.Win32.Hupigon.chy
   •  TrendMicro: BKDR_HUPIGON.BJX
   •  F-Secure: Backdoor.Win32.Hupigon.chy
   •  Eset: Win32/Hupigon.CHY


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\server.bat



Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\SVKP.sys
– %WINDIR%\uninstal.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\SVKP.sys"
   • "DisplayName"="SVKP"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
   • "0"="Root\\LEGACY_SVKP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\server.bat"
   • "DisplayName"="DNS Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Ö§³Ö´Ë¼ÆËã»úµÄ½âÎöºÍ»º³åÓòÃûϵͳ(DNS)·þÎñ¡£Èç¹û´Ë·þÎñÍ£Ö¹£¬½âÎöºÍ»º³åÓòÃûϵͳ(DNS)·þÎñ¹¦Äܽ«²»¿ÉÓá£"

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Enum]
   • "0"="Root\\LEGACY_BNS_SERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Deschide porturile:

– iexplore.exe pe portul TCP 8080 pentru a functiona ca server proxy.
– iexplore.exe pe portul TCP 1080


Servere contactate:
Urmatorul:
   • syrus.3322.**********:8000

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Numele sistemului
    • Informatii despre sistemul de operare

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • iexplore.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • SVKP

Descrizione inserita da Adriana Popa su giovedì 26 ottobre 2006
Descrizione aggiornata da Adriana Popa su venerdì 27 ottobre 2006

Indietro . . . .