BKDR_HUPIGON.ARQ
TrojanDropper:Win32/Hupigon.gen!A (Microsoft); Backdoor.Win32.Hupigon.aai (Kaspersky); Backdoor.Graybird (Symantec)
Windows
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Program Files%\Internet Explorer\Connection Wizard\msicw.exe
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Infiltra y ejecuta los archivos siguientes:
- %Windows%\uninstal.bat
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
Description = ±¾µØÖ´ÐÐϵͳ»¹Ô¹¦ÄÜ¡£ Ҫֹͣ·þÎñ£¬Çë´Ó¡°ÎҵĵçÄÔ¡±µÄÊôÐÔÖеÄϵͳ»¹ÔÑ¡Ï¹Ø±Õϵͳ»¹Ô
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
DisplayName = System local Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
ImagePath = “%Program Files%\Internet Explorer\Connection Wizard\msicw.exe”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
Type = 110
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice