English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Hupigon.LQ.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Hupigon.LQ.1 - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/Hupigon.LQ.1
発見日:
04/11/2005
タイプ
バックドア・サーバ型
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
325.632 バイト
MD5 チェックサム
c4f0bfa3186d931b86fb025c02443d6d
VDFファージョン:
6.32.00.146
- Fri, 04 Nov 2005 11:33 (GMT+1)
一般情報
別名
• Symantec(シマンテック) Backdoor.Graybird
• Kaspersky(カスペルスキー) Backdoor.Win32.Hupigon.byu
• Sophos(ソフォス) Troj/Hupigo-BYU
• ビットディフェンダー(Bitdefender): Trojan.NSAnti.A
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
副作用
• 悪意ファイルを作成します。
• レジストリの改変。
• 情報を盗みます。
ファイル
それ自体を以下の場所にコピーします。
•
%WINDIR%
\rpccall.exe
最初に実行したコピーの方を削除します。
以下のファイルを消去します。
•
%SYSDIR%
\
%6桁のランダムな文字列%
.sys
•
%WINDIR%
\uninstal.bat
以下のファイルが作成されます:
–
%SYSDIR%
\j9u.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/EggDrop.h.1.A
–
%SYSDIR%
\
%6桁のランダムな文字列%
.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Graybird.AA.2
–
%WINDIR%
\rpccall.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Hupigon.GQ.1
–
%WINDIR%
\rpccallKey.DLL 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Hupigon.GQ.1
–
%WINDIR%
\uninstal.bat 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。
ファイルをダウンロードしようとします:
– 場所は以下の通りです:
• http://wolforsheep.sitesled.com/gengxin/**********
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\SYSTEM\CurrentControlSet\Services\GOOD05
• "Type"=dword:00000001
• "Start"=dword:00000003
• "ErrorControl"=dword:00000001
• "ImagePath"="
%SYSDIR%
\
%6桁のランダムな文字列%
.sys "
• "DisplayName"="GOOD05"
– HKLM\SYSTEM\CurrentControlSet\Services\RPCcallServer
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"="
%WINDIR%
\rpccall.exe"
• "DisplayName"="RPCcallServer"
• "ObjectName"="LocalSystem"
• "Description"="RPCcall Server manager"
以下のレジストリ・キーが追加されます:
– HKLM\SYSTEM\CurrentControlSet\Services\GOOD05\Security
• "Security"=%hex value%
– HKLM\SYSTEM\CurrentControlSet\Services\GOOD05\Enum
• "0"="Root\\LEGACY_GOOD05\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOOD05
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOOD05\0000
• "Service"="GOOD05"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="GOOD05"
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOOD05\0000\Control
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="GOOD05"
– HKLM\SYSTEM\CurrentControlSet\Services\RPCcallServer\Security
• "Security"=%hex value%
– HKLM\SYSTEM\CurrentControlSet\Services\RPCcallServer\Enum
• "0"="Root\\LEGACY_RPCCALLSERVER\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCCALLSERVER
• "NextInstance"=dword:00000001
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCCALLSERVER\0000
• "Service"="RPCcallServer"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="RPCcallServer"
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCCALLSERVER\0000\
Control
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="RPCcallServer"
– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
• @=dword:0000000c
バックドア
サーバに接続します。
以下のもの:
•
%ダウンロード・ファイルのURL%
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%WINDIR%
\rpccallKey.DLL
– プロセスにプロセス監視ルーチンを挿入します。
プロセス名:|以下のすべて:
•
%SYSDIR%
\winlogon.exe
•
%WINDIR%
\EXPLORER.exe
•
%マルウェアはメモリに起動された後のすべての新プロセス%
ルートキット・テクノロジー(Rootkit Technology)
以下のものを隠します:
– それ自身のファイル
– それ自身のプロセス
使用されているメソッド:
• ウインドウズAPIから隠されています:
ファイルの詳細
プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Bogdan Iliuta によって Thu, 28 Sep 2006 16:55 (GMT+1) 書き込まれました。
この説明は Bogdan Iliuta によって Wed, 22 Nov 2006 17:31 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Mytob.CR
Worm/Netsky.D.Dam
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
