Nom:BDS/Haxdoor.GJ.3
La date de la découverte:02/02/2006
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:17.565 Octets
Somme de contrôle MD5:e2761e88642324801fa8754261bb81b4
Version VDF:6.33.00.183

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Haxdoor.gj
   •  TrendMicro: BKDR_HAXDOOR.DU


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Les fichiers suivants sont créés:

%SYSDIR%\wnlogow.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.GJ.4

%SYSDIR%\avload32.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.GJ.2

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow]
   • Type = dword:00000001
   • Start = dword:00000001
   • ErrorControl = dword:00000000
   • ImagePath = \??\%SYSDIR%\wnlogow.sys
   • DisplayName = BLUETOOTH IPv4 service

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Enum]
   • 0 = Root\\LEGACY_WNLOGOW\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000]
   • Service = wnlogow
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = BLUETOOTH IPv4 service
   • Capabilities = dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000\
   Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = wnlogow



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\Explorer.EXE = %WINDIR%\Explorer.EXE:*:Enabled:explorer



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   avload32]
   • DllName = avload32.dll
   • Startup = avload32
   • Impersonate = dword:00000001
   • Asynchronous = dword:00000001
   • MaxWait = dword:00000001
   • keyR2 = [%chaîne de caractères aléatoire%]



La clé de registre suivante est changée:

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   L'ancienne valeur:
   • WarnOnZoneCrossing = %réglages définis par l'utilisateur%
   • WarnOnPostRedirect = %réglages définis par l'utilisateur%
   • WarnOnBadCertRecving = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • WarnOnZoneCrossing = dword:00000000
   • WarnOnPostRedirect = dword:00000000
   • WarnOnBadCertRecving = dword:00000000

 Porte dérobée Les ports suivants sont ouverts:

– winlogon.exe sur le port TCP 9066 afin de fonctionner comme serveur proxy.
– winlogon.exe sur le port TCP 9067 afin de fonctionner comme serveur proxy Sock 5.


Serveur de contact:
Le suivant:
   • http://www.superstability.info/forte/**********

Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Port ouvert
    • Les informations rassemblées, décrites dans la section


Capacités d'accès à distance:
    • Commence le keylog

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • Opera
   • ICQ
   • The Bat
   • Outlook Express
   • MSN Messenger
   • MyIE
   • Mozilla
   • Maxthon
   • Miranda

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • %tout site web qui contient une formulaire d'identification%

– Il capture:
    • Fenêtre d'information
    • Information du compte

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\avload32.dll

    Nom du processus :
   • explorer.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Ses propres fichiers


La méthode utilisée:
    • Caché de Windows API

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Andrei Gherman le vendredi 3 février 2006
Description mise à jour par Andrei Gherman le vendredi 3 février 2006

Retour . . . .