Троянская программа. Имеет встроенную функцию удаленного управления компьютером.
Инсталляция
После запуска бэкдор копирует себя в корневой каталог Windows с именем G_Server.exe:
%Windir%\G_Server.exe
Также в корневом каталоге Windows бэкдор создает следующие файлы:
%Windir%\G_ServerKey.dll (38912 байт) %Windir%\G_Server.dll (372736 байт) %Windir%\G_Server_HOOk.dll (61440 байт)
Причем файлы G_Server.exe, G_ServerKey.dll и G_Server.dll создаются с атрибутами скрытые (hidden), системные (system) и только для чтения (read only).
G_ServerKey.dll детектируется Антивирусом Касперского как Backdoor.Win32.Hupigon.mk, а G_Server_HOOk.dll и G_Server.dll — как Backdoor.Win32.Hupigon.lk.
Бэкдор регистрирует в реестре службу GrayPigeonServer в режиме автозапуска (параметр Start = "dword:00000002").
Для этого в системном реестре создаются следующие ключи:
Для Windows NT, 2000, XP и Server 2003:
[HKLM\System\CurrentControlSet\Services\GrayPigeonServer] "DisplayName"="Gray_Pigeon_Server" "ErrorControl"="dword:00000000" "ImagePath"="%windir%\G_Server.exe" "ObjectName"="LocalSystem" "Start"="dword:00000002" "Type"="dword:00000272" [HKLM\System\CurrentControlSet\Services\GrayPigeonServer\Enum] "0"="Root\LEGACY_GRAYPIGEONSERVER\0000" "Count"="dword:00000001" "NextInstance"="dword:00000001" [HKLM\System\CurrentControlSet\Services\GrayPigeonServer\] "Security"="01 00 14 80 90 00 00 00 9c 00 00 00 14..." [HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER] "NextInstance"="dword:00000001" [HKLM\System\CurrentControlSet\Root\LEGACY_GRAYPIGEONSERVER\0000] "Class"="LegacyDriver" "ClassGUID"="{8EECC055D-057F-11D1-A537-0000F8753ED1}" "ConfigFlags"="dword:00000000" "DeviceDesc"="Gray_Pigeon_Server" "Legacy"="dword:00000001" "Service"="GrayPigeonServer"
Для Windows 98, Me:
[HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "G_Server.exe"="%windir%\G_Server.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "G_Server.exe"="%windir%\G_Server.exe"
Деструктивная активность
Троянец использует rootkit-техники для скрытия своих процессов в системе. Внося изменения в память активных процессов, заставляет их вызывать свои вредоносные функций. При этом нельзя пронаблюдать исполняемый троянский код в списке исполняемых задач.
После запуска троянца стартует уже проинсталлированная служба GrayPigeonServer. Далее он инфицирует процесс IEXPLORER.EXE (открывает его со всеми возможными правами и производит в его адресное пространство запись своих данных, тем самым подключая функции из библиотек: G_Server_HOOk.dll, G_ServerKey.dll). В свою очередь уже IEXPLORER.EXE заражает все остальные активные процессы в системе. Сам процесс G_Server.exe завершает свое выполнение и удаляет cвою исходную копию.
Бэкдор создает следующие уникальные идентификаторы для определения своего присутствия в системе:
Gpigeon5_Shared_2005 Gpigeon5_Shared_HIDE (для библиотеки G_Server_HOOk.dll)
IEXPLORER.EXE пытается установить соединение с vip.***gezi.com:8004 и получает предписания для дальнейшей загрузки и открытия различных портов с целью дать доступ удаленному пользователю к зараженной машине.
На перекрестке науки и фантазии — наш канал