Win32/Hupigon.NJJ

Created: 2009-09-10, 17:02:36
Last updated on: 2009-09-10, 17:02:36

Platforma: Win32 Typ: trojan Rozmiar: 576512
Data: 2009-01-27

Kompresja: ASProtect
Narażone systemy operacyjne: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000 wszystkie...
Nienarażone systemy operacyjne: Windows 3.xx, DOS, Linux, Unix, Solaris wszystkie...

Nazwa

Programy antywirusowe używają różnych nazw wirusów i robaków. Zdarza się, że program antywirusowy identyfikuje złośliwy program używając różnych nazw dla różnych odmian tego samego zagrożenia lub różne wirusy i trojany są identyfikowane tą sama nazwą. Poniższa lista zawiera nazwy zagrożenia nadane przez najbardziej popularne programy antywirusowe. Nazwy mogą się różnić w zależności od wersji programu.
Nazwy Win32/Hupigon.NJJ trojan nadane przez programy antywirusowe:
  • BackDoor.Hupigon4.AATV (AVG)
  • Backdoor.Hupigon.AAFC (BitDefender)
  • PossibleThreat (Fortinet)
  • Backdoor.Win32.Hupigon.ezli (F-Secure)
  • Backdoor.Win32.Hupigon (Ikarus)
  • BackDoor-AWQ!hv.c(Trojan) (McAfee)
  • Win32/Hupigon.NJJ (NOD32 (ESET))
  • Win32/Hupigon.gen!B (Microsoft)
  • Backdoor.Win32.Gpigeon.gel (Rising Antivirus)
  • Mal/Inet-Fam (Sophos)
  • BKDR_Generic.DMS (Trend Micro)
  • Backdoor.Hupigon.CIUS (VirusBuster)

Instalacja

Głównym celem wirusów i robaków rozprzetrzeniających się przez Internet i sieci lokalne jest infekcja innych komputerów. Po zainfekowaniu komputera złośliwe prgoramy mogą zmieniać system i po ponownym uruchomieniu komputera złośliwy kod może zostać uruchomiony i wykonany. Do tego celu złośliwe programy zwykle tworzą pliki w katalogach systemowych i zmieniają rejestr. Zgodnie ze zmianami w rejestrze, system operacyjny wykonuje złośliwy kod. Ponadto istnieje również możliwość tworzenia plików w innych katalogach niż systemowe. Z drugiej strony istnieje możliwość tworzenia przez wirusy i robaki plików AUTORUN.INF w katalogach głównych na dyskach twardych. W takim przypadku - zgodnie z domyślnymi ustawieniami systemu Windows - pliki automatycznie uruchamiają złośliwy kod podczas otwierania katalogu głównego przez użytkownika.

Win32/Hupigon.NJJ trojan w katalogu systemowym Windows (domyślnie: C:\Windows\System32) tworzy system32.com.exe file.


image

Win32/Hupigon.NJJ trojan tworzy następujące wpisy w rejestrze:

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\system32] "DisplayName"="system32"
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\system32] "ImagePath"="C:\WINDOWS\system32\system32.com.exe"

image

Wirusy i robaki mogą tworzyć w systemie usługi pozwalające na aktywację pliku podczas startu systemu. Ustawienia usługi przechowywane są również w rejestrze. Istnieje również możliwość zatrzymywania usług przez złośliwy program.

Win32/Hupigon.NJJ trojan tworzy usługę używając nazwy system32 .

Ścieżka do utworzonej usługi C:\Windows\System32\system32.com.exe .

Backdoor

Viruses and worms usually open backdoors on the attacked computer. Thus they can fully control the machine by the attacker. In this case the attacker can do on the computer what he/she wants: programs and applications can be started or stopped, files can be uploaded or downloaded, passwords can be stolen, ...

The Win32/Hupigon.NJJ trojan opens a backdoor on the TCP port number 8080 .