Имя:BDS/Hupigon.bm.1
Обнаружен:14/03/2006
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:762.880 байт.
Контрольная сумма MD5:78ca704d9450e10D2d5555ee75dfcbf3
Версия VDF:6.33.00.165

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Backdoor.Graybird
   •  Mcafee: BackDoor-AWQ
   •  Bitdefender: Backdoor.Graybird.GH


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\caner.exe



Создаются следующие файлы:

%WINDIR%\bootstat.dat
%WINDIR%\jautoexp.dat
%WINDIR%\unins000.dat



Попытка загрузки следующего файла:

– Следующий URL:
   • www.gxceo.com/**********

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\CanerServer
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\Caner.exe
   • "DisplayName"="CanerServer"
   • "ObjectName"="LocalSystem"
   • "Description"="ϵͳÄÚ´æ¼à¿Ø·þÎñ"

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Security]
   • Security = %шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\CanerServer\Enum]
   • "0"="Root\\LEGACY_CANERSERVER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Backdoor Устанавливает соединение с сервером
Следующий:
   • %IP адрес из загруженного файла%

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • IEXPLORER.EXE


 Разное Мьютекс:
Создается мьютекс:
   • Hacker.com.cn_MUTEX

 Данные файла Язык программирования:
 Программа была написана на Delphi.

Описание добавил Victor Tone в(о) вторник, 14 марта 2006 г.
Описание обновил Victor Tone в(о) среда, 15 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.