Hupigon.NGU

Létrehozva: 2008-08-29, 13:56:08

Utolsó frissítés: 2009-11-09, 17:32:22

Platform: Win32

Típus: trójai

Méret: 1856828

Dátum: 2008-02-26

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Telepítés:

Egyes vírusok, férgek a telepítést megelőzően, illetve a telepítés során, esetleg a számítógép sikeres megfertőzését követő első újraindítás alkalmával valamilyen látványos tevékenységet végeznek. Ennek a célja - azon kívül, hogy felhívják magukra a figyelmet - az, hogy az felhasználói interaktívitással (egy billentyűlenyomás vagy egérkattintás) megnehezítsék a kártékony kód automatikus feldolgozását virtuális környezetben.

A trójai a saját kódjának telepítése során az alábbi ablako(ka)t jeleníti meg a képernyőn:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Hupigon.NGU trójai a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza az alábbi fájlokat:

alghost.exe
sqlmain.exe

A trójai a következő fájlokat hozza létre abba a mappába, ahonnan indítva lett:

default<number>_mac
editplus.exe
editplus.ini

A Win32/Hupigon.NGU trójai a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMRepApp] "DisplayName"="COM+ Services
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMRepApp] "ImagePath"="C:\WINDOWS\system32\alghost.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMRepApp] "DisplayName"="COM+ Services
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMRepApp] "ImagePath"="C:\WINDOWS\system32\alghost.exe"

Egy, a számítógépeket támadó vírus, féreg az elindulást követő aktivizálódás érdekében szolgáltatást (service) is létrehozhat. A szolgáltatások paramétereit is természetesen tartalmazza a rendszerleíró adatbázis (registry). A szolgáltatásokat a Windows XP alatt a Vezérlőpult/Felügyeleti eszközök/Szolgáltatások alatt tekinthetjük meg. A vírusok, férgek a szolgáltatásokat le is állíthatják.

A Win32/Hupigon.NGU trójai COM+ Services néven hoz létre szervizt.

A létrehozott szerviz a(z) C:\Windows\System32\alghost.exe elérési útra hivatkozik.

Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

A(z) ximibao.3322.org weboldalhoz csatlakozik.