Name:BDS/Haxdoor.GJ.3
Entdeckt am:02/02/2006
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:17.565 Bytes
MD5 Prüfsumme:e2761e88642324801fa8754261bb81b4
VDF Version:6.33.00.183

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Haxdoor.gj
   •  TrendMicro: BKDR_HAXDOOR.DU


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es werden folgende Dateien erstellt:

%SYSDIR%\wnlogow.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Haxdoor.GJ.4

%SYSDIR%\avload32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Haxdoor.GJ.2

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow]
   • Type = dword:00000001
   • Start = dword:00000001
   • ErrorControl = dword:00000000
   • ImagePath = \??\%SYSDIR%\wnlogow.sys
   • DisplayName = BLUETOOTH IPv4 service

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Enum]
   • 0 = Root\\LEGACY_WNLOGOW\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000]
   • Service = wnlogow
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = BLUETOOTH IPv4 service
   • Capabilities = dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000\
   Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = wnlogow



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\Explorer.EXE = %WINDIR%\Explorer.EXE:*:Enabled:explorer



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   avload32]
   • DllName = avload32.dll
   • Startup = avload32
   • Impersonate = dword:00000001
   • Asynchronous = dword:00000001
   • MaxWait = dword:00000001
   • keyR2 = [%zufällige Buchstabenkombination%]



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Alter Wert:
   • WarnOnZoneCrossing = %Einstellungen des Benutzers%
   • WarnOnPostRedirect = %Einstellungen des Benutzers%
   • WarnOnBadCertRecving = %Einstellungen des Benutzers%
   Neuer Wert:
   • WarnOnZoneCrossing = dword:00000000
   • WarnOnPostRedirect = dword:00000000
   • WarnOnBadCertRecving = dword:00000000

 Hintertür Die folgenden Ports werden geöffnet:

– winlogon.exe am TCP Port 9066 um einen Proxy Server zur Verfügung zu stellen.
– winlogon.exe am TCP Port 9067 um einen Socks5 Proxy Server zur Verfügung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://www.superstability.info/forte/**********

Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Aktueller Malware Status
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen


Möglichkeiten der Fernkontrolle:
    • Starte Tastaturüberwachung

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • Opera
   • ICQ
   • The Bat
   • Outlook Express
   • MSN Messenger
   • MyIE
   • Mozilla
   • Maxthon
   • Miranda

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\avload32.dll

    Prozessname:
   • explorer.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Versteckt folgendes:
– Eigene Dateien


Eingesetzte Methode:
    • Unsichtbar von Windows API

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 3. Februar 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 3. Februar 2006

zurück . . . .