Nombre:BDS/Haxdoor.KG
Descubierto:16/08/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:62.825 Bytes
Suma de control MD5:A06F64CC3047015B82E15005512C47BF
Versión del VDF:6.35.01.99
Versión del IVDF:6.35.01.100 - miércoles 16 de agosto de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Backdoor.Haxdoor.O
   •  Mcafee: BackDoor-BAC
   •  Kaspersky: Backdoor.Win32.Haxdoor.kg
   •  TrendMicro: BKDR_HAXDOOR.IE
   •  Sophos: Troj/Haxdoor-DA
   •  VirusBuster: Backdoor.Haxdoor.JU
   •  Bitdefender: Backdoor.Haxdoor.KG


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros  Crea la siguiente carpeta:
   • W01083060Z



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %SYSDIR%\kgctini.dat
   • %SYSDIR%\lps.dat

%SYSDIR%\kps001.sys Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %informaciones robadas%

%SYSDIR%\ydsvgd.sys Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Haxdoor.JU.1

%SYSDIR%\qo.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Haxdoor.JU.1

%SYSDIR%\ycsvgd.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Haxdoor.JU.1

%SYSDIR%\qo.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.PdPi.CT.1.D

%SYSDIR%\ydsvgd.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.PdPi.CT.1.D

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%SYSDIR%\ycsvgd.sys
   • "DisplayName"="NDIS OSI"

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Enum]
   • "0"="Root\\LEGACY_YCSVGD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • Start

–  [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\wscsvc]
   • Start

–  [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\VFILT]
   • Start



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   ydsvgd]
   • "MaxWait"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="XWD33Sifix"
   • "CID"="[%serie de caracteres aleatorios%]"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ycsvgd.sys]
   • "(Default)"="Driver"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\ycsvgd.sys]
   • "(Default)"="Driver"



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager\
   Memory Management]
   Nuevo valor:
   • "EnforceWriteProtection"=dword:00000000

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
El remitente del mensaje de correo es el siguiente:
   • %nombre del usuario actual% %dirección IP%


Para:
El destinatario del mensaje es el siguiente:
   • HAXOR


Asunto:
El siguiente:
   • *%serie de caracteres aleatorios%*



El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • %informaciones robadas%

 Finalización de los procesos Listado de los procesos finalizados:
   • zapro.exe
   • atrack.exe
   • FwAct.exe
   • iamapp.exe
   • jamapp.exe
   • mpfagent.exe
   • mpftray.exe
   • outpost.exe
   • vsmon.exe
   • zlclient.exe


 Backdoor (Puerta trasera) Abre los siguientes puertos:

– explorer.exe en el puerto TCP 16661 para proporcionar capabilidades de backdoor.
– explorer.exe en un puerto TCP aleatorio para funcionar como servidor proxy.
– explorer.exe en un puerto TCP aleatorio para funcionar como servidor proxy Socks 4,


Servidor contactado:
El siguiente:
   • www.grci.info/**********

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral
    • Tiempo de trabajo del programa viral
    • Puerto abierto
    • Las informaciones recolectadas, descritas en la sección


Capabilidades de control remoto:
    • Ejecutar fichero
    • Enviar mensajes de correo
    • Iniciar la captura de pulsaciones de teclado
    • Visitar un sitio web

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Las contraseñas de los siguientes programas:
   • ICQ
   • Inetcomm Server
   • Internet Explorer
   • Opera
   • Outlook Express
   • Myle
   • Mozilla
   • MSN
   • Mirabilis
   • Miranda
   • The Bat
   • WebMoney

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • https://www.e-gold.com/acct/ai.asp?c=AS

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • Ebay
   • E-gold
   • Paypal

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\ydsvgd.dll

    Los siguientes procesos:
   • explorer.exe
   • %todos los procesos se han iniciado después de que el malware es activo en la memoria% 



Propósito:
El acceso a los siguientes sitios web está efectivamente bloqueado:
   • avp.ch; avp.com; avp.ru; awaps.net; customer.symantec.com;
      dispatch.mcafee.com; download.mcafee.com; engine.awaps.net;
      f-secure.com; ftp.kaspersky.ru; ftp.sophos.com; kaspersky-labs.com;
      kaspersky.com; kaspersky.ru; liveupdate.symantec.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      rads.mcafee.com; securityresponse.symantec.com; service1.symantec.com;
      sophos.com; spd.atdmt.com; symantec.com; trendmicro.com; u2.eset.com;
      update.symantec.com; updates.drweb-online.com; updates.symantec.com;
      us.mcafee.com; virustotal.com


 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:

– Los siguientes ficheros:
   • ycsvgd.sys
   • shsvga.bin
   • qo.sys
   • ydsvgd.sys
   • qo.dll
   • ydsvgd.dll
   • gsvga.bin
   • mnsvgas.bin
   • lps.dat
   • ttsvga.dat
   • t001f.exd
   • wagfola4w.dat
   • shsvga.bin

– El siguiente proceso:
   • explorer.exe


Método empleado:
    • Oculto en Windows API

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG 2.0

Descripción insertada por Iulia Diaconescu el jueves 17 de agosto de 2006
Descripción actualizada por Iulia Diaconescu el martes 29 de agosto de 2006

Volver . . . .