YU 2.1 (Backdoor.Win32.Hupigon.px)

image

Программа написана на Delphi, упакована Aspack. Размер файла — 294076 байт.

Технические детали

Программа написана на Delphi, упакована Aspack. Размер файла — 294076 байт.

Инсталляция

Копирует себя в системную директорию под именем winreg.exe и notepod.exe.

Добавляет ссылку на этот файл в автозагрузку реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"LoadWindowsFile" = "<системная директория>\winreg.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
 "LoadWindowsFile" = "<системная директория>\winreg.exe"

Также изменяет параметры запуска исполняемых и текстовых файлов таким образом, что запуск любого exe-приложения и открытие любого txt-файла влечет за собой запуск данного троянца:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]
 (Default) = "Notepod.exe "%1""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
 (Default) = "<системная директория>\winreg.exe "%1" %*"

Действия

Открывает порт 8310 (UDP) и несколько случайных (TCP) и ожидает на них подключения «хозяина». Функционал имеющихся в распоряжении подключившегося злоумышленника команд достаточно широк — операции с файлами, форматирование диска, сбор нажатий клавиш и паролей и т.п.

Содержит строки на китайском языке.