Nume:BDS/Haxdoor.KG
Descoperit pe data de:16/08/2006
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:62.825 Bytes
MD5:A06F64CC3047015B82E15005512C47BF
Versiune VDF:6.35.01.99
Versiune IVDF:6.35.01.100 - Wednesday, August 16, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Backdoor.Haxdoor.O
   •  Mcafee: BackDoor-BAC
   •  Kaspersky: Backdoor.Win32.Haxdoor.kg
   •  TrendMicro: BKDR_HAXDOOR.IE
   •  Sophos: Troj/Haxdoor-DA
   •  VirusBuster: Backdoor.Haxdoor.JU
   •  Bitdefender: Backdoor.Haxdoor.KG


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere  Creeaza urmatorul director:
   • W01083060Z



Sunt create fisierele:

– Fisiere inofensive:
   • %SYSDIR%\kgctini.dat
   • %SYSDIR%\lps.dat

– %SYSDIR%\kps001.sys Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %informatiile sustrase%

– %SYSDIR%\ydsvgd.sys Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Haxdoor.JU.1

– %SYSDIR%\ycsvgd.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\ydsvgd.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.PdPi.CT.1.D

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%SYSDIR%\ycsvgd.sys
   • "DisplayName"="NDIS OSI"

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Security]
   • "Security"=hex:%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Enum]
   • "0"="Root\\LEGACY_YCSVGD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • Start

–  [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\wscsvc]
   • Start

–  [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\VFILT]
   • Start



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   ydsvgd]
   • "MaxWait"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="XWD33Sifix"
   • "CID"="[%combinatie de caractere aleatoare%]"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ycsvgd.sys]
   • "(Default)"="Driver"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\ycsvgd.sys]
   • "(Default)"="Driver"



Urmatoarea cheie din registri este modificata:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager\
   Memory Management]
   Noua valoare:
   • "EnforceWriteProtection"=dword:00000000

 Email Nu are rutina proprie de raspandire, dar poate trimite email-uri. Cel mai probabil, destinatarul este autorul virusului. Iata caracteristicile lui:


De la:
Expeditorul email-ului este urmatorul:
   • %numele utilizatorului curent% %adresa IP%


Catre:
Destinatarul mesajului este:
   • HAXOR


Subiect:
Urmatorul:
   • *%combinatie de caractere aleatoare%*



Corpul email-ului:
Corpul email-ului este:
   • %informatiile sustrase%

 Terminarea proceselor Lista cu procesele oprite:
   • zapro.exe
   • atrack.exe
   • FwAct.exe
   • iamapp.exe
   • jamapp.exe
   • mpfagent.exe
   • mpftray.exe
   • outpost.exe
   • vsmon.exe
   • zlclient.exe


 Backdoor Deschide porturile:

– explorer.exe pe portul TCP 16661 pentru a oferi functionalitate de backdoor.
– explorer.exe port TCP aleator pentru a functiona ca server proxy.
– explorer.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,


Servere contactate:

   • www.grci.info/**********

Astfel se pot transmite informatii. Se foloseste metoda HTTP GET si POST printr-un script PHP.


Trimte informatii despre:
    • Statusul actual al malware-ului
    • Timpul de cand malware-ul a fost lansat in executie
    • Port deschis
    • Informatiile colectate, descrise in sectiunea


Posibilitati de control la distanta:
    • executarea unui fisier
    • trimitere email-uri
    • Porneste keylog
    • Vizitarea unui website

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole stocate, folosite de functia AutoComplete
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parolele din urmatoarele programe:
   • ICQ
   • Inetcomm Server
   • Internet Explorer
   • Opera
   • Outlook Express
   • Myle
   • Mozilla
   • MSN
   • Mirabilis
   • Miranda
   • The Bat
   • WebMoney

– O rutina de logare este pornita dupa ce un site este vizitat:
   • https://www.e-gold.com/acct/ai.asp?c=AS

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • Ebay
   • E-gold
   • Paypal

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii legate de fereastra

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\ydsvgd.dll

    Urmatoarele procese:
   • explorer.exe
   • %toate procesele pornite dupa ce virusul este activ in memorie%



Scop:
Accesul la urmatoarele website-uri este efectiv blocat:
   • avp.ch; avp.com; avp.ru; awaps.net; customer.symantec.com;
      dispatch.mcafee.com; download.mcafee.com; engine.awaps.net;
      f-secure.com; ftp.kaspersky.ru; ftp.sophos.com; kaspersky-labs.com;
      kaspersky.com; kaspersky.ru; liveupdate.symantec.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      rads.mcafee.com; securityresponse.symantec.com; service1.symantec.com;
      sophos.com; spd.atdmt.com; symantec.com; trendmicro.com; u2.eset.com;
      update.symantec.com; updates.drweb-online.com; updates.symantec.com;
      us.mcafee.com; virustotal.com


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:

– Urmatoarele fisiere:
   • ycsvgd.sys
   • shsvga.bin
   • qo.sys
   • ydsvgd.sys
   • qo.dll
   • ydsvgd.dll
   • gsvga.bin
   • mnsvgas.bin
   • lps.dat
   • ttsvga.dat
   • t001f.exd
   • wagfola4w.dat
   • shsvga.bin

– Urmatorul proces:
   • explorer.exe


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG 2.0

Description inserted by Iulia Diaconescu on Thursday, August 17, 2006
Description updated by Iulia Diaconescu on Tuesday, August 29, 2006

Back . . . .