BDS/Hupigon.chy - Backdoor Server

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	BDS/Hupigon.chy
Descoperit pe data de:	12/09/2006
Tip:	Backdoor Server
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	833.536 Bytes
MD5:	4052dc2493d0b00af39524765d4c6119
Versiune VDF:	6.35.01.215
Versiune IVDF:	6.35.01.219

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Mcafee: BackDoor-AWQ
   • Kaspersky: Backdoor.Win32.Hupigon.chy
   • TrendMicro: BKDR_HUPIGON.BJX
   • F-Secure: Backdoor.Win32.Hupigon.chy
   • Eset: Win32/Hupigon.CHY

Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
• %WINDIR%\server.bat

Sterge copia initiala a virusului.

Sunt create fisierele:

– %SYSDIR%\SVKP.sys
– %WINDIR%\uninstal.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP]
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\SVKP.sys"
   • "DisplayName"="SVKP"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
   • "0"="Root\\LEGACY_SVKP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\server.bat"
   • "DisplayName"="DNS Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Ö§³Ö´Ë¼ÆËã»úµÄ½âÎöºÍ»º³åÓòÃûÏµÍ³(DNS)·þÎñ¡£Èç¹û´Ë·þÎñÍ£Ö¹£¬½âÎöºÍ»º³åÓòÃûÏµÍ³(DNS)·þÎñ¹¦ÄÜ½«²»¿ÉÓÃ¡£"

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\BNS Service\Enum]
   • "0"="Root\\LEGACY_BNS_SERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Backdoor Deschide porturile:

– iexplore.exe pe portul TCP 8080 pentru a functiona ca server proxy.
– iexplore.exe pe portul TCP 1080

Servere contactate:
Urmatorul:
   • syrus.3322.**********:8000

Astfel se pot transmite informatii si se poate obtine control la distanta.

Trimte informatii despre:
    • Numele sistemului
    • Informatii despre sistemul de operare

Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

Numele procesului:
• iexplore.exe

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• SVKP

Pentru o descriere scurta click aici.

Descriere introdusa de Adriana Popa la Thu, 26 Oct 2006 15:44 (GMT+1)
Descriere actualizata de Adriana Popa la Fri, 27 Oct 2006 14:34 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back