Información de virus: Backdoor.Win32.Hupigon.a
Nombre del virus: Hupigon
Fecha de creación: 22/jul/04
Plataforma:Win32
Tipo de virus
Caballo de Troya que no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P, generalmente disfrazado como una aplicación.
Medio de propagación
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Cuando se ejecuta, el troyano abre una puerta trasera que permite a un usuario remoto tomar el control total del equipo infectado.
Inicia su actividad de la siguiente manera:
Se copia a si mismo, y libera dos DLL, todos con atributos de solo lectura (+R), sistema (+S) y oculto (+H), en la carpeta de Windows:
c:\windows\[nombre al azar 1].exe
c:\windows\[nombre al azar 2].dll
c:\windows\[nombre al azar 3].dll
También se puede crear otro DLL en la carpeta del sistema:
c:\windows\system32\[nombre al azar 4].dll
Crea una entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run [nombre al azar 1].exe = "c:\windows\[nombre al azar 1].exe"
HKLM\System\CurrentControlSet\Services\system32 ImagePath = C:\WINDOWS\Hacker.com.cn.exe
HKLM\System\CurrentControlSet\Services\system32
HKLM\System\CurrentControlSet\Services\system32\Security
Otras llaves:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_[nombre al azar 1]
HKLM\SYSTEM\CurrentControlSet\Services\[nombre al azar 1]
El troyano causa los siguientes daños:
Acceder a los archivos del equipo infectado.
Capturar pantallas y también video (si existe una webcam).
Capturar salida del teclado.
Descargar, instalar y ejecutar silenciosamente otros programas.
Escuchar por el micrófono del sistema.
Modificar las configuraciones por defecto del Internet Explorer.
Robar información confidencial.
La variante Hupingon.BS crea las sig. llaves:
# HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ GrayPigeonServer
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_GRAYPIGEONSERVER
Y también crea estos archivos:
* G_SERVER.DLL (868864 Bytes), G_SERVER_HOOK.DLL (851712 Bytes) y G_SERVERKEY.DLL (102912 Bytes), que son DLLs.
* G_SERVER.EXE.
Info de otra pagina:
Instalación
Infiltra los archivos siguientes:
* %System%\IEXPL0RER.bat
* %System%\pchsvc.dll
* %System%\Sysclt.dll
* %System%\Systen.dll
* %Windows%\{random}.dat
* %Windows%\{random}.dll
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).)
Crea las siguientes copias de sí mismo en el sistema afectado:
* %System%\pchsvc.dll
* %Program Files%\Common Files\Microsoft Shared\MSInfo\Stemp.exe
* %System%\IEXPL0RER.EXE
* %Windows%\Hacker.com.cn.ini
http://www.vsantivirus.com/hupigon.html
http://www.f-secure.com/v-descs/backdoor_w32_hupigon.shtml