Nume:BDS/Hupigon.ccy.28
Descoperit pe data de:27/10/2006
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:400.196 Bytes
MD5:23f7553942c25922bfe068c20d2f1ffd
Versiune VDF:6.36.00.175
Versiune IVDF:6.36.00.194

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: BackDoor-AWQ.b
   •  Kaspersky: Backdoor.Win32.Hupigon.ccy
   •  F-Secure: Backdoor.Win32.Hupigon.ccy
   •  Eset: Win32/Hupigon


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\svchost.com



Sterge copia initiala a virusului.



Sunt create fisierele:

– %WINDIR%\svchost.DLL Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Hupigon.E.1

– %WINDIR%\svchost_Hook.DLL Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Hupigon.BB.1

– %WINDIR%\svchostKey.DLL Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Hupigon.BB

– %WINDIR%\uninstal.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • i.6to23.com/lovelyairong/**********
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.com"
   • "DisplayName"="Gray_Pigeon_Server"
   • "ObjectName"="LocalSystem"
   • "Description"="»Ò¸ë×Ó·þÎñ¶Ë³ÌÐò¡£Ô¶³Ì¼à¿Ø¹ÜÀí."

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\GrayPigeonServer\Enum]
   • "0"="Root\\LEGACY_GRAYPIGEONSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • "Check_Associations"=%setarile utilizatorului%
   Noua valoare:
   • "Check_Associations"="yes"

– [HKCU\Software\Microsoft\Internet Connection Wizard]
   Noua valoare:
   • "Completed"=hex:01,00,00,00

 Backdoor Servere contactate:
Urmatorul:
   • %URL din fisierul descarcat%

Astfel se obtine control la distanta.

Posibilitati de control la distanta:
    • Porneste keylog

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: svchost.DLL

    Numele procesului:
   • iexplore.exe



–  Injecteaza fisierul urmator intr-un proces: svchostKey.DLL

    Numele procesului:
   • %toate procesele active%



–  Injecteaza fisierul urmator intr-un proces: svchost_Hook.DLL

    Numele procesului:
   • %toate procesele active%


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriile fisiere


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • ASPack

Descrição enviada por Adriana Popa em quarta-feira, 29 de novembro de 2006
Descrição atualizada por Adriana Popa em quarta-feira, 29 de novembro de 2006

Voltar . . . .