Nome del virus:BDS/Hupigon.ccy.28
Scoperto:27/10/2006
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:400.196 Byte
Somma di controllo MD5:23f7553942c25922bfe068c20d2f1ffd
Versione VDF:6.36.00.175
Versione IVDF:6.36.00.194

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: BackDoor-AWQ.b
   •  Kaspersky: Backdoor.Win32.Hupigon.ccy
   •  F-Secure: Backdoor.Win32.Hupigon.ccy
   •  Eset: Win32/Hupigon


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\svchost.com



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%WINDIR%\svchost.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Hupigon.E.1

%WINDIR%\svchost_Hook.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Hupigon.BB.1

%WINDIR%\svchostKey.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Hupigon.BB

%WINDIR%\uninstal.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova a scaricare un file:

– La posizione è la seguente:
   • i.6to23.com/lovelyairong/**********
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.com"
   • "DisplayName"="Gray_Pigeon_Server"
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valore precedente:
   • "Check_Associations"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Check_Associations"="yes"

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   Nuovo valore:
   • "Completed"=hex:01,00,00,00

 Backdoor Contatta il server:
Il seguente:
   • %URL dal file scaricato%

Come risultato viene fornita la capacità di controllare da remoto.

Capacità di controllo remoto:
    • Inizia keylog

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: svchost.DLL

    Nome del processo:
   • iexplore.exe



–  Inserisce il seguente file in un processo: svchostKey.DLL

    Nome del processo:
   • %tutti i processi in esecuzione%



–  Inserisce il seguente file in un processo: svchost_Hook.DLL

    Nome del processo:
   • %tutti i processi in esecuzione%


 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– I propri file


Metodo utilizzato:
    • Nascosto dalle Windows API

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack

Descrizione inserita da Adriana Popa su mercoledì 29 novembre 2006
Descrizione aggiornata da Adriana Popa su mercoledì 29 novembre 2006

Indietro . . . .