Nombre:BDS/Haxdoor.AF
Descubierto:20/02/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:23.877 Bytes
Suma de control MD5:34feef2ba829a1843afa45464c0Efa0D
Versión del VDF:6.33.01.11

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Goldun.hp
   •  TrendMicro: TSPY_GOLDUN.CI
   •  Sophos: Troj/Goldun-BX
   •  VirusBuster: trojan TrojanSpy.Goldun.CV
   •  Bitdefender: Trojan.PWS.Goldspy.F


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\tick48.bin

%SYSDIR%\directut.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.gh.2

%SYSDIR%\directout.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Goldun.HP

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directut]
   • "nk48id" = "[NG%serie de caracteres aleatorios%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "Startup" = "directut"
   • "DllName" = "directut.dll"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\directout]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directout.sys
   • "DisplayName"="Printer direct access"

– [HKLM\SYSTEM\CurrentControlSet\Services\directout\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\directout\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT\0000]
   • "Service"="directout"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Printer direct access"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directout"



Crea las siguientes entradas para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

 Backdoor (Puerta trasera) Abre el siguiente puerto:

– winlogon.exe en un puerto TCP aleatorio


Servidor contactado:
La siguiente:
   • www.skyinet.info/r4/**********

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.


Envía informaciones acerca de:
    • Dirección IP
    • Puerto abierto
    • Las informaciones recolectadas, descritas en la sección
    • Informaciones acerca del sistema operativo Windows

 Robo de informaciones Intenta robar las siguientes informaciones:

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • %cualquier página web HTTPS que contenga un formulario de login%
      

– Captura:
    • Informaciones para iniciar sesión

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: directut.dll

    Los siguientes procesos:
   • winlogon.exe
   • explorer.exe
   • %todos los procesos se han iniciado después de que el malware es activo en la memoria% 


 Informaciones diversas Sincronización del tiempo:
Para sincronizar la hora del sistema, se conecta en el puerto 123 al servidor NTP:
   • time.windows.com

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Sus propios ficheros
– Su propio proceso


Método empleado:
    • Oculto en Windows API

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG 2.0

Descripción insertada por Daniel Constantin el miércoles 22 de febrero de 2006
Descripción actualizada por Daniel Constantin el lunes 6 de marzo de 2006

Volver . . . .