TR/Hupigon.MY - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Hupigon.MY
Data em que surgiu:	19/10/2006
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	396.230 Bytes
MD5 checksum:	9761700bdb80002583ea2ce27d131959
Versão VDF:	6.36.00.61
Versão IVDF:	6.36.00.75

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Mcafee: BackDoor-AWQ.b
   • Kaspersky: Backdoor.Win32.Hupigon.clv
   • F-Secure: Backdoor.Win32.Hupigon.clv
   • Eset: Win32/Hupigon.MN

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %WINDIR%\Server

Apaga a cópia executada inicialmente.

É criado o seguinte ficheiro:

– %WINDIR%\Delete.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
• %PROGRAM FILES%\Internet Explorer\iexplore.exe

Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\system32]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\Server"
   • "DisplayName"="system"
   • "ObjectName"="LocalSystem"
   • "Description"="windows%uma série de caracteres aleatórios%"

– [HKLM\SYSTEM\CurrentControlSet\Services\system32\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\system32\Enum]
   • "0"="Root\\LEGACY_SYSTEM32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

São adicionadas as seguintes chaves ao registo:

– [HKCR\CLSID\{%CLSID gerado%}]
   • @="%uma série de caracteres aleatórios%"

– [HKCR\CLSID\{%CLSID gerado%}\InprocServer32]
   • @=%dependente do sistema%

– [HKCR\CLSID\{%CLSID gerado%}\ProgID]
   • @=%dependente do sistema%

– [HKCR\CLSID\{%CLSID gerado%}\Programmable]
   • @=""

– [HKCR\CLSID\{%CLSID gerado%}\TypeLib]
   • @="{%CLSID gerado%}"

– [HKCR\CLSID\{%CLSID gerado%}\Version]
   • @=%dependente do sistema%

– [HKCR\CLSID\{%CLSID gerado%}\VersionIndependentProgID]
   • @=%dependente do sistema%

– [HKCR\TypeLib\{%CLSID gerado%}]
   • @=""

– [HKCR\TypeLib\{%CLSID gerado%}\1.0]
   • @=%dependente do sistema%

– [HKCR\TypeLib\{%CLSID gerado%}\1.0\0]
   • @=""

– [HKCR\TypeLib\{%CLSID gerado%}\1.0\0\win32]
   • @=%dependente do sistema%

– [HKCR\TypeLib\{%CLSID gerado%}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{%CLSID gerado%}\1.0\HELPDIR]
   • @=%dependente do sistema%

– [HKCU\Software\ASProtect\SpecData]
   • @="73C2167373C21673"
   • "73C2167373C21673"=%valores hex%

– [HKCR\.key]
   • @="regfile"

Backdoor Contacta o servidor:
Seguinte:
   • 33733.ipread.**********:8000

Como resultado pode enviar alguma informação.

Envia informação sobre:
    • Nome do computador
    • Endereço IP
    • Hora de Sistema
    • Informação sobre o sistema operativo Windows

Informações diversas Mutex:
Cria o seguinte Mutex:
• HUIGEZI1.2320060923

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Monica Ghitun em Thu, 19 Oct 2006 16:21 (GMT+1)
Descrição adicionada por Adriana Popa em Thu, 16 Nov 2006 11:51 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back