Nume:BDS/Hupigon.chz
Descoperit pe data de:12/09/2006
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:708.608 Bytes
MD5:9c8d5c674889597f7f5726c0c794ef04
Versiune VDF:6.35.01.215
Versiune IVDF:6.35.01.219 - quarta-feira, 13 de setembro de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: BackDoor-AWQ
   •  Kaspersky: Backdoor.Win32.Hupigon.chz
   •  TrendMicro: BKDR_HUPIGON.BMF
   •  F-Secure: Backdoor.Win32.Hupigon.chz
   •  Eset: Win32/Hupigon.CHZ


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza un fisier
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\Hacker.com.cn.exe



Este creat fisierul:

– %WINDIR%\uninstal.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • k2u.512j.com/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\winfile system protect]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\Hacker.com.cn.exe"
   • "DisplayName"="winfile system protect"
   • "ObjectName"="LocalSystem"
   • "Description"="ϵͳÎļþ±£»¤"

– [HKLM\SYSTEM\CurrentControlSet\Services\winfile system protect\
   Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\winfile system protect\
   Enum]
   • "0"="Root\\LEGACY_WINFILE_SYSTEM_PROTECT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Servere contactate:
Urmatorul:
   • %URL din fisierul descarcat%

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Numele sistemului
    • Informatii despre sistemul de operare

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • iexplore.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • ASProtect

Descrição enviada por Adriana Popa em quinta-feira, 26 de outubro de 2006
Descrição atualizada por Adriana Popa em sexta-feira, 27 de outubro de 2006

Voltar . . . .