Security Lab

Backdoor.Win32. Hupigon.nh

Backdoor.Win32. Hupigon.nh

Троянская программа. Имеет встроенную функцию удаленного управления компьютером.

Троянская программа. Имеет встроенную функцию удаленного управления компьютером. Написана на языке Delphi, упакована Aspack. Является приложением Windows (PE EXE-файл). Размер файла — 418304 байт.

Инсталляция

После запуска бэкдор копирует себя в корневой каталог Windows с именем G_Server.exe:

%Windir%\G_Server.exe

Также в корневом каталоге Windows бэкдор создает следующие файлы:

  
  %Windir%\G_ServerKey.dll (38912 байт)
  %Windir%\G_Server.dll (372736 байт)
  %Windir%\G_Server_HOOk.dll (61440 байт)
  

Причем файлы G_Server.exe, G_ServerKey.dll и G_Server.dll создаются с атрибутами скрытые (hidden), системные (system) и только для чтения (read only).

G_ServerKey.dll детектируется Антивирусом Касперского как Backdoor.Win32.Hupigon.mk, а G_Server_HOOk.dll и G_Server.dll — как Backdoor.Win32.Hupigon.lk.

Бэкдор регистрирует в реестре службу GrayPigeonServer в режиме автозапуска (параметр Start = "dword:00000002").

Для этого в системном реестре создаются следующие ключи:

Для Windows NT, 2000, XP и Server 2003:

  [HKLM\System\CurrentControlSet\Services\GrayPigeonServer]
   "DisplayName"="Gray_Pigeon_Server"
   "ErrorControl"="dword:00000000"
   "ImagePath"="%windir%\G_Server.exe"
   "ObjectName"="LocalSystem"
   "Start"="dword:00000002"
   "Type"="dword:00000272"
  
  [HKLM\System\CurrentControlSet\Services\GrayPigeonServer\Enum]
   "0"="Root\LEGACY_GRAYPIGEONSERVER\0000"
   "Count"="dword:00000001"
   "NextInstance"="dword:00000001"
  
  [HKLM\System\CurrentControlSet\Services\GrayPigeonServer\]
   "Security"="01 00 14 80 90 00 00 00 9c 00 00 00 14..."
  
  [HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER]
   "NextInstance"="dword:00000001"
  
  [HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER\0000]
   "Class"="LegacyDriver"
   "ClassGUID"="{8EECC055D-057F-11D1-A537-0000F8753ED1}"
   "ConfigFlags"="dword:00000000"
   "DeviceDesc"="Gray_Pigeon_Server"
   "Legacy"="dword:00000001"
   "Service"="GrayPigeonServer"
  

Для Windows 98, Me:

  [HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   "G_Server.exe"="%windir%\G_Server.exe"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "G_Server.exe"="%windir%\G_Server.exe"

Деструктивная активность

Троянец использует rootkit-техники для скрытия своих процессов в системе. Внося изменения в память активных процессов, заставляет их вызывать свои вредоносные функций. При этом нельзя пронаблюдать исполняемый троянский код в списке исполняемых задач.

После запуска троянца стартует уже проинсталлированная служба GrayPigeonServer. Далее он инфицирует процесс IEXPLORER.EXE (открывает его со всеми возможными правами и производит в его адресное пространство запись своих данных, тем самым подключая функции из библиотек: G_Server_HOOk.dll, G_ServerKey.dll). В свою очередь уже IEXPLORER.EXE заражает все остальные активные процессы в системе. Сам процесс G_Server.exe завершает свое выполнение и удаляет cвою исходную копию.

Бэкдор создает следующие уникальные идентификаторы для определения своего присутствия в системе:

  Gpigeon5_Shared_2005
  Gpigeon5_Shared_HIDE (для библиотеки G_Server_HOOk.dll)

IEXPLORER.EXE пытается установить соединение с vip.***gezi.com:8004 и получает предписания для дальнейшей загрузки и открытия различных портов с целью дать доступ удаленному пользователю к зараженной машине.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!