VírusBDS/Hupigon.bm.1
Data em que surgiu:14/03/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:762.880 Bytes
MD5 checksum:78ca704d9450e10D2d5555ee75dfcbf3
Versão VDF:6.33.00.165

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Backdoor.Graybird
   •  Mcafee: BackDoor-AWQ
   •  Bitdefender: Backdoor.Graybird.GH


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\caner.exe



São criados os seguintes ficheiros:

%WINDIR%\bootstat.dat
%WINDIR%\jautoexp.dat
%WINDIR%\unins000.dat



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • www.gxceo.com/**********

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\CanerServer
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\Caner.exe
   • "DisplayName"="CanerServer"
   • "ObjectName"="LocalSystem"
   • "Description"="ϵͳÄÚ´æ¼à¿Ø·þÎñ"

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Enum]
   • "0"="Root\\LEGACY_CANERSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Contacta o servidor:
Seguinte:
   • %Endereço IP retirado do ficheiro de downloaded%

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto.

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • IEXPLORER.EXE


 Informações diversas Mutex:
Cria o seguinte Mutex:
   • Hacker.com.cn_MUTEX

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.

Descrição enviada por Victor Tone em terça-feira, 14 de março de 2006
Descrição atualizada por Victor Tone em quarta-feira, 15 de março de 2006

Voltar . . . .