YU 2.1 (Backdoor.Win32.Hupigon.px)

Программа написана на Delphi, упакована Aspack. Размер файла — 294076 байт.

Инсталляция

Копирует себя в системную директорию под именем winreg.exe и notepod.exe.

Добавляет ссылку на этот файл в автозагрузку реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
  "LoadWindowsFile" = "<системная директория>\winreg.exe"
  
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
   "LoadWindowsFile" = "<системная директория>\winreg.exe"

Также изменяет параметры запуска исполняемых и текстовых файлов таким образом, что запуск любого exe-приложения и открытие любого txt-файла влечет за собой запуск данного троянца:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]
   (Default) = "Notepod.exe "%1""
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
   (Default) = "<системная директория>\winreg.exe "%1" %*"

Действия

Открывает порт 8310 (UDP) и несколько случайных (TCP) и ожидает на них подключения «хозяина». Функционал имеющихся в распоряжении подключившегося злоумышленника команд достаточно широк — операции с файлами, форматирование диска, сбор нажатий клавиш и паролей и т.п.

Содержит строки на китайском языке.