Backdoor.Win32.Hupigon.nh
Podczas instalacji szkodnik tworzy swoj膮 kopi臋:
%Windir%G_Server.exe
Backdoor tworzy tak偶e nast臋puj膮ce pliki w folderze systemu Windows:
- %Windir%G_ServerKey.dll (38 912 bajt贸w)
- %Windir%G_Server.dll (372 736 bajt贸w)
- %Windir%G_Server_HOOk.dll (61 440 bajt贸w)
Pliki G_Server.exe, G_ServerKey.dll oraz G_Server.dll all posiadaj膮 nast臋puj膮ce atrybuty: "ukryty", "systemowy" oraz "tylko do odczytu".
G_ServerKey.dll jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
Backdoor rejestruje us艂ug臋 GrayPigeonServer w trybie automatycznego uruchamiania. W tym celu szkodnik tworzy nast臋puj膮ce klucze rejestru:
W systemach Windows NT, 2000, XP oraz Server 2003:
- [HKLMSystemCurrentControlSetServicesGrayPigeonServer]
"DisplayName"="Gray_Pigeon_Server"
"ErrorControl"="dword:00000000"
"ImagePath"="%windir%G_Server.exe"
"ObjectName"="LocalSystem"
"Start"="dword:00000002"
"Type"="dword:00000272" - [HKLMSystemCurrentControlSetServicesGrayPigeonServerEnum]
"0"="RootLEGACY_GRAYPIGEONSERVER�000"
"Count"="dword:00000001"
"NextInstance"="dword:00000001" - [HKLMSystemCurrentControlSetServicesGrayPigeonServer]
"Security"="01 00 14 80 90 00 00 00 9c 00 00 00 14..." - [HKLMSystemCurrentControlSetRootLEGACY_GRAYPIGEONSERVER]
"NextInstance"="dword:00000001" - [HKLMSystemCurrentControlSetRootLEGACY_GRAYPIGEONSERVER�000]
"Class"="LegacyDriver"
"ClassGUID"="{8EECC055D-057F-11D1-A537-0000F8753ED1}"
"ConfigFlags"="dword:00000000"
"DeviceDesc"="Gray_Pigeon_Server"
"Legacy"="dword:00000001"
"Service"="GrayPigeonServer"
W systemach Windows 98 oraz ME:
- [HKEY_USER.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"G_Server.exe"="%windir%G_Server.exe" - [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
聽"G_Server.exe"="%windir%G_Server.exe"
Szkodnik wykorzystuje technologi臋 rootkit w celu ukrywania swojego procesu w systemie. Backdoor modyfikuje pami臋膰 aktywnych proces贸w, co prowadzi do wykonywania przez nie szkodliwych funkcji. Plik szkodnika nie jest widoczny na li艣cie aktywnych proces贸w.
Trojan uruchamia zainstalowan膮 wcze艣niej przez siebie us艂ug臋 GrayPigeonServer. Nast臋pnie infekowany jest plik IEXPLORER.EXE poprzez otwarcie go i zapisanie danych backdoora do jego przestrzeni adresowej (w艂膮cznie z funkcjami z bibliotek G_Server_HOOk.dll oraz G_ServerKey.dll). Od tego momentu IEXPLORER.EXE b臋dzie infekowa艂 wszystkie aktywne procesy. Na koniec backdoor usuwa oryginalny plik, z kt贸rego zosta艂 pierwotnie uruchomiony.
W celu oznaczenia zainfekowanego systemu szkodnik tworzy unikatowy identyfikator:
Gpigeon5_Shared_2005 Gpigeon5_Shared_HIDE (dla biblioteki G_Server_HOOk.dll)
Zainfekowany proces IEXPLORER.EXE pr贸buje nawi膮zywa膰 po艂膮czenia z adresem vip.***gezi.com:8004 w celu uzyskania parametr贸w pobierania plik贸w o otwierania szeregu port贸w. Wszystko to ma na celu umo偶liwienie zdalnemu agresorowi uzyskania dost臋pu do zainfekowanego komputera.
W celu usuni臋cia szkodnika z zainfekowanego systemu nale偶y wykona膰 nast臋puj膮ce czynno艣ci:
- Uruchomi膰 system Windows w Trybie Awaryjnym (podczas w艂膮czania komputera nale偶y trzyma膰 wci艣ni臋ty przycisk F8 na klawiaturze, a偶 do momentu pojawienia si臋 na ekranie tekstowego menu zawieraj膮cego pozycj臋 "Tryb Awaryjny")
- Usun膮膰 z dysku nast臋puj膮ce pliki:
%Windir%G_Server.exe %Windir%G_ServerKey.dll %Windir%G_Server.dll %Windir%G_Server_HOOk.dll
- Usun膮膰 nast臋puj膮ce wpisy z rejestru systemowego:
- [HKLMSYSTEMCurrentControlSetServicesGrayPigeonServer]
- [HKLMSYSTEMCurrentControlSetRootLEGACY_GRAYPIGEONSERVER]
- Uaktualni膰 sygnatury zagro偶e艅 i wykona膰 pe艂ne skanowanie antywirusowe ca艂ego komputera (w tym celu mo偶na skorzysta膰 z wersji testowej oprogramowania Kaspersky Anti-Virus)