VírusBDS/Hupigon.ccy.28
Data em que surgiu:27/10/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:400.196 Bytes
MD5 checksum:23f7553942c25922bfe068c20d2f1ffd
Versão VDF:6.36.00.175
Versão IVDF:6.36.00.194

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Mcafee: BackDoor-AWQ.b
   •  Kaspersky: Backdoor.Win32.Hupigon.ccy
   •  F-Secure: Backdoor.Win32.Hupigon.ccy
   •  Eset: Win32/Hupigon


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\svchost.com



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%WINDIR%\svchost.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Hupigon.E.1

%WINDIR%\svchost_Hook.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Hupigon.BB.1

%WINDIR%\svchostKey.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Hupigon.BB

%WINDIR%\uninstal.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • i.6to23.com/lovelyairong/**********
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.com"
   • "DisplayName"="Gray_Pigeon_Server"
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Check_Associations"=%definições do utilizador %
   Valor recente:
   • "Check_Associations"="yes"

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   Valor recente:
   • "Completed"=hex:01,00,00,00

 Backdoor Contacta o servidor:
Seguinte:
   • %URL do ficheiro descarregado%

Como resultado é dada capacidade de controlo remoto.

Capacidades de controlo remoto:
    • Inicia o keylog

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: svchost.DLL

    Nome do processo:
   • iexplore.exe



–  Introduz o seguinte ficheiro num processo: svchostKey.DLL

    Nome do processo:
   • %todos os processo em execução%



–  Introduz o seguinte ficheiro num processo: svchost_Hook.DLL

    Nome do processo:
   • %todos os processo em execução%


 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– Os seus próprios ficheiros


Forma utilizada
    • Esconde-se na API do Windows

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • ASPack

Descrição enviada por Adriana Popa em quarta-feira, 29 de novembro de 2006
Descrição atualizada por Adriana Popa em quarta-feira, 29 de novembro de 2006

Voltar . . . .