BDS/Hupigon.LQ.1 - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Hupigon.LQ.1
Scoperto:	04/11/2005
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	325.632 Byte
Somma di controllo MD5:	c4f0bfa3186d931b86fb025c02443d6d
Versione VDF:	6.32.00.146

Generale Alias:
   • Symantec: Backdoor.Graybird
   • Kaspersky: Backdoor.Win32.Hupigon.byu
   • Sophos: Troj/Hupigo-BYU
   • Bitdefender: Trojan.NSAnti.A

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni

File Si copia alla seguente posizione:
   • %WINDIR%\rpccall.exe

Cancella la copia di se stesso eseguita inizialmente.

Cancella i seguenti file:
   • %SYSDIR%\%stringa casuale di sei caratteri%.sys
   • %WINDIR%\uninstal.bat

Vengono creati i seguenti file:

– %SYSDIR%\j9u.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/EggDrop.h.1.A

– %SYSDIR%\%stringa casuale di sei caratteri%.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Graybird.AA.2

– %WINDIR%\rpccall.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Hupigon.GQ.1

– %WINDIR%\rpccallKey.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Hupigon.GQ.1

– %WINDIR%\uninstal.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

Prova a scaricare un file:

– La posizione è la seguente:
   • http://wolforsheep.sitesled.com/gengxin/**********

Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\GOOD05
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\%stringa casuale di sei caratteri%.sys "
   • "DisplayName"="GOOD05"

– HKLM\SYSTEM\CurrentControlSet\Services\RPCcallServer
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\rpccall.exe"
   • "DisplayName"="RPCcallServer"
   • "ObjectName"="LocalSystem"
   • "Description"="RPCcall Server manager"

Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SYSTEM\CurrentControlSet\Services\GOOD05\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\GOOD05\Enum
   • "0"="Root\\LEGACY_GOOD05\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOOD05
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOOD05\0000
   • "Service"="GOOD05"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="GOOD05"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOOD05\0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="GOOD05"

– HKLM\SYSTEM\CurrentControlSet\Services\RPCcallServer\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\RPCcallServer\Enum
   • "0"="Root\\LEGACY_RPCCALLSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCCALLSERVER
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCCALLSERVER\0000
   • "Service"="RPCcallServer"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="RPCcallServer"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCCALLSERVER\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="RPCcallServer"

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   • @=dword:0000000c

Backdoor Contatta il server:
Il seguente:
• %URL dal file scaricato%

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %WINDIR%\rpccallKey.DLL

– Inserisce una procedura di “process watching” in un processo.

    Tutti i seguenti processi:
   • %SYSDIR%\winlogon.exe
   • %WINDIR%\EXPLORER.exe
   • %tutti i processi iniziati dopo l'attivazione del malware nella memoria%

Tecnologia Rootkit Nasconde il seguente:
– I propri file
– I propri processi

Metodo utilizzato:
• Nascosto dalle Windows API

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Bogdan Iliuta il Thu, 28 Sep 2006 16:55 (GMT+1)
Descrizione aggiornata da Bogdan Iliuta il Wed, 22 Nov 2006 17:31 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro