Name:BDS/Haxdoor.AF
Entdeckt am:20/02/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:23.877 Bytes
MD5 Prüfsumme:34feef2ba829a1843afa45464c0Efa0D
VDF Version:6.33.01.11

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Spy.Win32.Goldun.hp
   •  TrendMicro: TSPY_GOLDUN.CI
   •  Sophos: Troj/Goldun-BX
   •  VirusBuster: trojan TrojanSpy.Goldun.CV
   •  Bitdefender: Trojan.PWS.Goldspy.F


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\tick48.bin

%SYSDIR%\directut.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.gh.2

%SYSDIR%\directout.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Goldun.HP

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directut]
   • "nk48id" = "[NG%zufällige Buchstabenkombination%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "Startup" = "directut"
   • "DllName" = "directut.dll"



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\directout]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directout.sys
   • "DisplayName"="Printer direct access"

– [HKLM\SYSTEM\CurrentControlSet\Services\directout\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\directout\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT\0000]
   • "Service"="directout"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Printer direct access"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directout"



Um die Windows XP Firewall zu umgehen werden folgende Einträge erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

 Hintertür Der folgende Port wird geöffnet:

– winlogon.exe an einem zufälligen TCP port


Kontaktiert Server:
Den folgenden:
   • www.skyinet.info/r4/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • IP Adresse
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Information über das Windows Betriebsystem

 Diebstahl Es wird versucht folgende Information zu klauen:

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede HTTPS basierende Webseite welche ein Loginformular
      enthält%

– Aufgezeichnet wird:
    • Anmeldeinformation

 Injektion –  Es injiziert folgende Datei in einen Prozess: directut.dll

    Alle der folgenden Prozesse:
   • winlogon.exe
   • explorer.exe
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher ist%


 Diverses Zeit Synchronisation:
Um die lokale Systemzeit zu synchronisieren wird über Port 123 folgender NTP Server kontaktiert:
   • time.windows.com

 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Versteckt folgendes:
– Eigene Dateien
– Eigener Prozess


Eingesetzte Methode:
    • Unsichtbar von Windows API

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG 2.0

Die Beschreibung wurde erstellt von Daniel Constantin am Mittwoch, 22. Februar 2006
Die Beschreibung wurde geändert von Daniel Constantin am Montag, 6. März 2006

zurück . . . .