BDS/Haxdoor.GJ.3 - Backdoor Server

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	BDS/Haxdoor.GJ.3
Descubierto:	02/02/2006
Tipo:	Servidor Backdoor
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	17.565 Bytes
Suma de control MD5:	e2761e88642324801fa8754261bb81b4
Versión del VDF:	6.33.00.183

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Backdoor.Win32.Haxdoor.gj
   • TrendMicro: BKDR_HAXDOOR.DU

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Crea los siguientes ficheros:

– %SYSDIR%\wnlogow.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Haxdoor.GJ.4

– %SYSDIR%\avload32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Haxdoor.GJ.2

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow]
   • Type = dword:00000001
   • Start = dword:00000001
   • ErrorControl = dword:00000000
   • ImagePath = \??\%SYSDIR%\wnlogow.sys
   • DisplayName = BLUETOOTH IPv4 service

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Enum]
   • 0 = Root\\LEGACY_WNLOGOW\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000]
   • Service = wnlogow
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = BLUETOOTH IPv4 service
   • Capabilities = dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000\
   Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = wnlogow

Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\Explorer.EXE = %WINDIR%\Explorer.EXE:*:Enabled:explorer

Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   avload32]
   • DllName = avload32.dll
   • Startup = avload32
   • Impersonate = dword:00000001
   • Asynchronous = dword:00000001
   • MaxWait = dword:00000001
   • keyR2 = [%serie de caracteres aleatorios%]

Modifica la siguiente clave del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor anterior:
   • WarnOnZoneCrossing = %configuración definida por el usuario%
   • WarnOnPostRedirect = %configuración definida por el usuario%
   • WarnOnBadCertRecving = %configuración definida por el usuario%
   Nuevo valor:
   • WarnOnZoneCrossing = dword:00000000
   • WarnOnPostRedirect = dword:00000000
   • WarnOnBadCertRecving = dword:00000000

Backdoor (Puerta trasera) Abre los siguientes puertos:

– winlogon.exe en el puerto TCP 9066 para funcionar como servidor proxy.
– winlogon.exe en el puerto TCP 9067 para funcionar como servidor proxy Socks 5,

Servidor contactado:
La siguiente:
   • http://www.superstability.info/forte/**********

Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.

Envía informaciones acerca de:
    • Estado actual del programa viral
    • Puerto abierto
    • Las informaciones recolectadas, descritas en la sección

Capabilidades de control remoto:
    • Iniciar la captura de pulsaciones de teclado

Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas
– Contraseñas guardadas, empleadas por la función AutoComplete
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Las contraseñas de los siguientes programas:
   • Opera
   • ICQ
   • The Bat
   • Outlook Express
   • MSN Messenger
   • MyIE
   • Mozilla
   • Maxthon
   • Miranda

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • %cualquier sitio web que contiene un formulario de
      autentificación%

– Captura:
    • Información de la ventana
    • Informaciones para iniciar sesión

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\avload32.dll

    Nombre del proceso:
   • explorer.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.

Oculta las siguientes:
– Sus propios ficheros

Método empleado:
• Oculto en Windows API

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• FSG

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Fri, 03 Feb 2006 18:40 (GMT+1)
Descripción actualizada por Andrei Gherman el Fri, 03 Feb 2006 19:07 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver