Backdoor.Win32. Hupigon.fdnv

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 28672 байта.

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 28672 байта. Упакована при помощи ASPack. Распакованный размер – около 119 КБ. Написана на Delphi.

Инсталляция

После запуска троянец устанавливает своему исполняемому файлу атрибут "Скрытый" и копирует данный файл в системный каталог Windows под именами:

%System%\wintemp.exe

%System%\syswin.exe

После копирования вредонос запускает файлы на выполнение.

Деструктивная активность

Троянец пытается выполнить обращение к интернет ресурсу, расположенного по ссылке:

http://www.qq.com/***

На момент создания описания ссылка не работала.

После чего вредонос определяет имя зараженного компьютера, IP-адрес и передает полученную информацию на сервер злоумышленника по следующему URL:

http://www.75*****.com/images/ge.asp?u=<имя компьютера>&i=

Далее выполняет загрузку файла, который находится по следующему URL:

http://reg.75*****.com/image/log.jpg

и замещает данным файлом содержимое файлов:

%System%\wintemp.exe

%System%\syswin.exe

Данный файл имеет размер 28672 байта и детектируется Антивирусом Касперского как Backdoor.Win32.Hupigon.fsfz. Затем вредоносная программа поочередно запускает данные файлы на выполнение. Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на файл в ключ автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 

"IeServer" = "%System%\syswin.exe"

Также троянец выполняет внедрение своего кода в адресное пространство процесса "elementclient.exe". И отслеживает ввод пользователем конфиденциальной информации в регистрационную форму on-line игры "Perfect World".