Vollständige Virenbeschreibung

Name:	TR/Haxdoor.IN
Entdeckt am:	01/05/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	54.406 Bytes
MD5 Prüfsumme:	c4b6955867625a7e926ccba29bf731f3
VDF Version:	6.34.01.25

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Backdoor.Haxdoor.J
   • Mcafee: BackDoor-BAC
   • Kaspersky: Backdoor.Win32.Haxdoor.in
   • TrendMicro: BKDR_HAXDOOR.GM
   • Bitdefender: Backdoor.Haxdoor.II

Wurde zuvor wie folgt erkannt:
   • BDS/Haxdoor.IN

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Terminierung von Sicherheitsprogrammen
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Folgende Datei wird gelöscht:
   • %HOME%\Start Menu\Programs\Startup\winupdt.exe

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %WINDIR%\dt163.dt

– %SYSDIR%\ps.a3d Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

– %SYSDIR%\sndu32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Goldu.FT.1.A

– %SYSDIR%\qm.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Goldu.FT.1.A

– %SYSDIR%\sndu64.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Haxdoor.GK

– %SYSDIR%\qm.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Haxdoor.GK

– %SYSDIR%\stt82.ini
– %SYSDIR%\config\SSL

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\sndu64]
   • Type = 1
   • Start = 1
   • ErrorControl = 0
   • ImagePath = \??\%SYSDIR%\sndu64.sys

– [HKLM\SYSTEM\CurrentControlSet\Services\sndu64\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\sndu64\Enum]
   • 0 = Root\LEGACY_SNDU64\0000
   • Count = 1
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64]
   • NextInstance = 1

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64\0000]
   • Service = sndu64
   • Legacy = 1
   • ConfigFlags = 0
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = SoundDriver SDB64

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SNDU64\0000\
   Control]
   • *NewlyCreated* = 0
   • ActiveService = sndu64

– [HKLM\SYSTEM\CurrentControlSet\Services\sndu32\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\sndu32\Enum]

Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • Start

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   • Start

– [HKLM\SYSTEM\CurrentControlSet\Services\VFILT]
   • Start

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\Explorer.EXE = %WINDIR%\Explorer.EXE:*:Enabled:explorer

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   sndu32]
   • secureUID = [%mehrere beliebige Ziffern%]
   • DllName = sndu32.dll
   • Startup = MMXChckIDT
   • Impersonate = 1
   • Asynchronous = 1
   • MaxWait = 1

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sndu32.sys]
   • @ = Driver

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sndu64.sys]
   • @ = Driver

Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
   Memory Management]
   Neuer Wert:
   • EnforceWriteProtection = 0

Prozess Beendigung Liste der Prozesse die beendet werden:
   • zapro.exe
   • vsmon.exe
   • jamapp.exe
   • atrack.exe
   • iamapp.exe
   • FwAct.exe
   • mpfagent.exe
   • outpost.exe
   • zlclient.exe
   • mpftray.exe

Liste der Dienste die beendet werden:
   • Security Center
   • Windows Firewall/Internet Connection Sharing (ICS)
   • Outpost Firewall

Hintertür Der folgende Port wird geöffnet:

– explorer.exe am TCP Port 19870 um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Alle der folgenden:
   • http://www.crypttrafic.com/**********
   • http://www.crypttrafic.com/**********
   • http://www.crypttrafic.com/**********
   • http://www.crypttrafic.com/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Erstellte Protokolldatei
    • IP Adresse
    • Arbeitszeit der Malware
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Benutzername
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Prozess abbrechen
    • Emails verschicken
    • Starte Tastaturüberwachung

Diebstahl Es wird versucht folgende Information zu klauen:
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • Internet Explorer
   • MyIE
   • Mozilla
   • The Bat
   • Outlook Express
   • MSN
   • ICQ
   • Opera
   • WebMoney
   • Miranda

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • Ebay
   • E-gold
   • Paypal

– Aufgezeichnet wird:
    • Anmeldeinformation

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\sndu32.dll

    Alle der folgenden Prozesse:
   • explorer.exe
   • iexplore.exe
   • opera.exe
   • myie.exe
   • mozilla.exe
   • thebat.exe
   • outlook.exe
   • msn.exe
   • icq.exe
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher ist%

Der Zugriff auf folgende Webseiten wird umgeleitet:
   • avp.ch; avp.com; avp.ru; awaps.net; customer.symantec.com;
      dispatch.mcafee.com; download.mcafee.com;
      downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads4.kaspersky-labs.com;
      downloads-us1.kaspersky-labs.com; downloads-us2.kaspersky-labs.com;
      downloads-us3.kaspersky-labs.com; engine.awaps.net; f-secure.com;
      ftp.avp.ch; ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
      ftp.kasperskylab.ru; ftp.kaspersky.ru; d-ru-1f.kaspersky-labs.com;
      d-ru-2f.kaspersky-labs.com; d-eu-1f.kaspersky-labs.com;
      d-eu-2f.kaspersky-labs.com; d-us-1f.kaspersky-labs.com;
      ftp.sophos.com; ids.kaspersky-labs.com; kaspersky.com;
      kaspersky-labs.com; liveupdate.symantec.com; liveupdate.symantec.com;
      liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      rads.mcafee.com; securityresponse.symantec.com; service1.symantec.com;
      sophos.com; spd.atdmt.com; symantec.com; trendmicro.com;
      update.symantec.com; updates.symantec.com;
      updates1.kaspersky-labs.com; updates1.kaspersky-labs.com;
      updates2.kaspersky-labs.com; updates3.kaspersky-labs.com;
      updates3.kaspersky-labs.com; updates4.kaspersky-labs.com;
      updates5.kaspersky-labs.com; us.mcafee.com; virustotal.com

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:

– Die folgenden Dateien:
   • sndu32.dll
   • qm.sys
   • qm.dll
   • stt82.ini
   • maskstt.a3d
   • tnstt.a3d
   • redir.a3d
   • redir2.a3d
   • wmx.a3d

– Der folgende Prozess:
   • explorer.exe

Eingesetzte Methode:

Klinkt sich in folgende API-Funktionen ein:
   • NtCreateProcess
   • NtCreateProcessEx
   • NtOpenProcess
   • NtOpenThread
   • NtQueryDirecotryFile
   • NtQuerySystemInformation

Datei Einzelheiten Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Donnerstag, 4. Mai 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 5. Mai 2006

zurück . . . .

Avira Partner werden

Als Top-Händler kleine und mittlere Firmen sichern? Das können Sie als Avira-Partner mit einem Angebot an kraftvoller, kosteneffizienter Sicherheit, auf die über 100 Millionen Nutzer weltweit vertrauen.

Erleben Sie das Avira Partner-Programm Melden Sie sich noch heute als Avira-Partner an

Bereits Avira Partner?

PartnerNet-Login

. . . .

Rufen Sie uns an

00800 284 284 22

Schön, von Ihnen zu hören!

Vielen Dank, dass Sie Avira kontaktierthaben.

Wir empfehlen

Weitere Produkte

Beliebteste Produkte

Alle Produkte

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools

Rufen Sie uns an

00800 284 284 22

Schön, von Ihnen zu hören!

Vielen Dank, dass Sie Avira kontaktierthaben.

Wir empfehlen

Weitere Produkte

Beliebteste Produkte

Alle Produkte

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools

Vielen Dank, dass Sie Avira kontaktiert
haben.

Vielen Dank, dass Sie Avira kontaktiert
haben.