Información de virus: Backdoor.Win32.Hupigon.a


Nombre del virus: Hupigon
Fecha de creación: 22/jul/04
Plataforma:Win32

Tipo de virus
Caballo de Troya que no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P, generalmente disfrazado como una aplicación.

Medio de propagación
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios. Cuando se ejecuta, el troyano abre una puerta trasera que permite a un usuario remoto tomar el control total del equipo infectado.

Inicia su actividad de la siguiente manera:
Se copia a si mismo, y libera dos DLL, todos con atributos de solo lectura (+R), sistema (+S) y oculto (+H), en la carpeta de Windows:
c:\windows\[nombre al azar 1].exe

c:\windows\[nombre al azar 2].dll

c:\windows\[nombre al azar 3].dll

También se puede crear otro DLL en la carpeta del sistema:

c:\windows\system32\[nombre al azar 4].dll


Crea una entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run [nombre al azar 1].exe = "c:\windows\[nombre al azar 1].exe"

HKLM\System\CurrentControlSet\Services\system32 ImagePath = C:\WINDOWS\Hacker.com.cn.exe
HKLM\System\CurrentControlSet\Services\system32
HKLM\System\CurrentControlSet\Services\system32\Security


Otras llaves:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_[nombre al azar 1]
HKLM\SYSTEM\CurrentControlSet\Services\[nombre al azar 1]

El troyano causa los siguientes daños:

  • Acceder a los archivos del equipo infectado.
  • Capturar pantallas y también video (si existe una webcam).
  • Capturar salida del teclado.
  • Descargar, instalar y ejecutar silenciosamente otros programas.
  • Escuchar por el micrófono del sistema.
  • Modificar las configuraciones por defecto del Internet Explorer.
  • Robar información confidencial.


    • La variante Hupingon.BS crea las sig. llaves:
    # HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ GrayPigeonServer
    HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_GRAYPIGEONSERVER
    Y también crea estos archivos:
    * G_SERVER.DLL (868864 Bytes), G_SERVER_HOOK.DLL (851712 Bytes) y G_SERVERKEY.DLL (102912 Bytes), que son DLLs. * G_SERVER.EXE.
    Info de otra pagina:
    Instalación
    Infiltra los archivos siguientes:
  • * %System%\IEXPL0RER.bat
  • * %System%\pchsvc.dll
  • * %System%\Sysclt.dll
  • * %System%\Systen.dll
  • * %Windows%\{random}.dat
  • * %Windows%\{random}.dll

    • (Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32). . %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).)
    Crea las siguientes copias de sí mismo en el sistema afectado:
    * %System%\pchsvc.dll * %Program Files%\Common Files\Microsoft Shared\MSInfo\Stemp.exe * %System%\IEXPL0RER.EXE * %Windows%\Hacker.com.cn.ini

    http://www.vsantivirus.com/hupigon.html http://www.f-secure.com/v-descs/backdoor_w32_hupigon.shtml