Win32/Hupigon.NJJ

Created: 2009-09-10, 17:02:36
Last updated on: 2009-09-10, 17:02:36

Platforma: Win32 Vrsta: trojan Veličina: 576512
Datum: 2009-01-27

Kompresor: ASProtect
Ugroženi operativni sustavi: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000 sve...
Operativni sustavi koji nisu ugroženi: Windows 3.xx, DOS, Linux, Unix, Solaris sve...

Imenovanje

Različiti antivirusni korisnički programi koriste različita imena za pojedine viruse i crve. Ponekad se dogodi da antivirusni program pri identifikaciji koristi različita imena kopija istog virusnog koda nekog malware-a, a ponekad se različiti virusi i crvi identificiraju pod istim nazivom. Dolje priložena informativna lista sadrži nazive zlonamjernih programa koje koriste najpopularniji antivirusni programi. Nazivi mogu varirati od verzije do verzije istog antivirusnog programa.
Nazivi koje za Win32/Hupigon.NJJ trojan koriste različiti antivirusni programi:
  • BackDoor.Hupigon4.AATV (AVG)
  • Backdoor.Hupigon.AAFC (BitDefender)
  • PossibleThreat (Fortinet)
  • Backdoor.Win32.Hupigon.ezli (F-Secure)
  • Backdoor.Win32.Hupigon (Ikarus)
  • BackDoor-AWQ!hv.c(Trojan) (McAfee)
  • Win32/Hupigon.NJJ (NOD32 (ESET))
  • Win32/Hupigon.gen!B (Microsoft)
  • Backdoor.Win32.Gpigeon.gel (Rising Antivirus)
  • Mal/Inet-Fam (Sophos)
  • BKDR_Generic.DMS (Trend Micro)
  • Backdoor.Hupigon.CIUS (VirusBuster)

Instalacija

Osnovna je namjera virusa i crva koji se šire Internetom i lokalnim mrežama zaraziti drugo računalo. Nakon što zarazi novo računalo, zlonamjerni program (malware) može izmjeniti računalni sustav na takav način da nakon ponovnog pokretanja računala (reboot) može biti pokrenut zlonamjerni kod. U tu svrhu malware uobičajeno kreira datoteke unutar operativnog sustava i mijenja njegov registar. Zahvaljujući izmjenama registra, operativni će sustav izvršiti i zlonamjerni kod. Uz navedeno, malware može kreirati datoteke i u drugim područjima interne računalne organizacije podataka. Također je moguće da virusi i crvi kreiraju AUTORUN.INF datoteke u korjenskoj (root) mapi diska. U ovom se slučaju, zahvaljujući standardnim postavkama Windows-a, instalirani malware automatski pokreće kada korisnik otvori korjensku mapu na takvom disku.

Win32/Hupigon.NJJ trojan u Windows System32 mapi (default: C:\Windows\System32) kreira system32.com.exe datoteku..


image

Win32/Hupigon.NJJ trojan kreira slijedeće upise u registar:

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\system32] "DisplayName"="system32"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\system32] "ImagePath"="C:\WINDOWS\system32\system32.com.exe"

image

Virusi i crvi mogu u računalnom sustavu kreirati servise koji će se aktivirati nakon procesa ponovnog pokretanja računala (boot). Parametri tih servisa su pohranjeni u registru. Moguće je da zlonamjerni program zaustavi servise.

Win32/Hupigon.NJJ trojan kreira servise koristeći ime system32 .

Putanja kreiranog servisa je C:\Windows\System32\system32.com.exe .

Backdoor napadi

Virusi i crvi na napadnuto računalo uobičajeno stižu prikrivenim putem, instalirajući backdoor pristup u cilju prikrivanja tragova napada i infiltracije. Time je napadaču omogućena potpuna kontrola zaraženog računala, te na njemu može raditi što god poželi: programi i aplikacije mogu se pokretati ili zaustavljati, datoteke se mogu slati na Internet ili preuzimati s njega, moguće je ukrasti lozinke...

Win32/Hupigon.NJJ trojan instalira 'backdoor' pristup na TCP portu broj 8080 .