Vollständige Virenbeschreibung

Name:	BDS/Haxdoor.KG
Entdeckt am:	16/08/2006
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	62.825 Bytes
MD5 Prüfsumme:	A06F64CC3047015B82E15005512C47BF
VDF Version:	6.35.01.99
IVDF Version:	6.35.01.100 - Mittwoch, 16. August 2006

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Backdoor.Haxdoor.O
   • Mcafee: BackDoor-BAC
   • Kaspersky: Backdoor.Win32.Haxdoor.kg
   • TrendMicro: BKDR_HAXDOOR.IE
   • Sophos: Troj/Haxdoor-DA
   • VirusBuster: Backdoor.Haxdoor.JU
   • Bitdefender: Backdoor.Haxdoor.KG

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es wird folgendes Verzeichnis erstellt:
   • W01083060Z

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\kgctini.dat
   • %SYSDIR%\lps.dat

– %SYSDIR%\kps001.sys Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

– %SYSDIR%\ydsvgd.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Haxdoor.JU.1

– %SYSDIR%\ycsvgd.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\ydsvgd.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.PdPi.CT.1.D

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%SYSDIR%\ycsvgd.sys
   • "DisplayName"="NDIS OSI"

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Security]
   • "Security"=hex:%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Enum]
   • "0"="Root\\LEGACY_YCSVGD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • Start

– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\wscsvc]
   • Start

– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\VFILT]
   • Start

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   ydsvgd]
   • "MaxWait"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="XWD33Sifix"
   • "CID"="[%zufällige Buchstabenkombination%]"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ycsvgd.sys]
   • "(Default)"="Driver"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\ycsvgd.sys]
   • "(Default)"="Driver"

Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager\
   Memory Management]
   Neuer Wert:
   • "EnforceWriteProtection"=dword:00000000

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
   • %aktueller Benutzernamen% %IP Addresse%

An:
Der Empfänger der Email ist folgender:
   • HAXOR

Betreff:
Folgende:
   • *%zufällige Buchstabenkombination%*

Body:
Der Body der Email ist folgender:
   • %gestohlene Infromation%

Prozess Beendigung Liste der Prozesse die beendet werden:
   • zapro.exe
   • atrack.exe
   • FwAct.exe
   • iamapp.exe
   • jamapp.exe
   • mpfagent.exe
   • mpftray.exe
   • outpost.exe
   • vsmon.exe
   • zlclient.exe

Hintertür Die folgenden Ports werden geöffnet:

– explorer.exe am TCP Port 16661 um Backdoor Funktion zur Verfügung zu stellen.
– explorer.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– explorer.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • www.grci.info/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Aktueller Malware Status
    • Arbeitszeit der Malware
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen

Möglichkeiten der Fernkontrolle:
    • Datei ausführen
    • Emails verschicken
    • Starte Tastaturüberwachung
    • Besuch einer Webseite

Diebstahl Es wird versucht folgende Information zu klauen:
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • ICQ
   • Inetcomm Server
   • Internet Explorer
   • Opera
   • Outlook Express
   • Myle
   • Mozilla
   • MSN
   • Mirabilis
   • Miranda
   • The Bat
   • WebMoney

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • https://www.e-gold.com/acct/ai.asp?c=AS

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • Ebay
   • E-gold
   • Paypal

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Fensterinformation

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\ydsvgd.dll

    Alle der folgenden Prozesse:
   • explorer.exe
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher ist%

Zweck:
Der Zugriff auf folgende Webseiten wird effektiv unterbunden:
   • avp.ch; avp.com; avp.ru; awaps.net; customer.symantec.com;
      dispatch.mcafee.com; download.mcafee.com; engine.awaps.net;
      f-secure.com; ftp.kaspersky.ru; ftp.sophos.com; kaspersky-labs.com;
      kaspersky.com; kaspersky.ru; liveupdate.symantec.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      rads.mcafee.com; securityresponse.symantec.com; service1.symantec.com;
      sophos.com; spd.atdmt.com; symantec.com; trendmicro.com; u2.eset.com;
      update.symantec.com; updates.drweb-online.com; updates.symantec.com;
      us.mcafee.com; virustotal.com

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:

– Die folgenden Dateien:
   • ycsvgd.sys
   • shsvga.bin
   • qo.sys
   • ydsvgd.sys
   • qo.dll
   • ydsvgd.dll
   • gsvga.bin
   • mnsvgas.bin
   • lps.dat
   • ttsvga.dat
   • t001f.exd
   • wagfola4w.dat
   • shsvga.bin

– Der folgende Prozess:
   • explorer.exe

Eingesetzte Methode:
    • Unsichtbar von Windows API

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG 2.0

Die Beschreibung wurde erstellt von Iulia Diaconescu am Donnerstag, 17. August 2006
Die Beschreibung wurde geändert von Iulia Diaconescu am Dienstag, 29. August 2006

zurück . . . .