Backdoor.Win32.Hupigon.a Jest to backdoor o rozmiarze 294 076 bajtów (kompresja Aspack). Powstał przy użyciu środowiska programistycznego Delphi.
Instalacja
Podczas instalacji backdoor kopiuje się do foldera systemowego z nazwą winreg.exe oraz notepod.exe i tworzy w rejestrze systemowym wpis zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"LoadWindowsFile" = "\winreg.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"LoadWindowsFile" = "\winreg.exe"
Szkodnik modyfikuje wpisy rejestru systemowego odpowiedzialne za uruchamianie plików wykonywalnych i tekstowych. Wraz z każdym uruchomieniem takiego pliku uaktywniony zostanie kod backdoora.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]
(Default) = "Notepod.exe "%1""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
(Default) = "\winreg.exe "%1" %*"
Funkcje dodatkowe:
Backdoor otwiera port UDP 8310 oraz losowy port TCP i oczekuje na zdalne polecenia. Zdalny cyber-przestępca może wykonywać operacje plikowe, formatować dysk przechwytywać dane wprowadzane z klawiatury zainfekowanego komputera itp.
W kodzie backdoora zapisane są chińskie teksty.
Inne znane nazwy szkodnika: