Nom:BDS/Haxdoor.KG
La date de la découverte:16/08/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:62.825 Octets
Somme de contrôle MD5:A06F64CC3047015B82E15005512C47BF
Version VDF:6.35.01.99
Version IVDF:6.35.01.100 - mercredi 16 août 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Backdoor.Haxdoor.O
   •  Mcafee: BackDoor-BAC
   •  Kaspersky: Backdoor.Win32.Haxdoor.kg
   •  TrendMicro: BKDR_HAXDOOR.IE
   •  Sophos: Troj/Haxdoor-DA
   •  VirusBuster: Backdoor.Haxdoor.JU
   •  Bitdefender: Backdoor.Haxdoor.KG


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers  Il crée le répertoire suivant:
   • W01083060Z



Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %SYSDIR%\kgctini.dat
   • %SYSDIR%\lps.dat

%SYSDIR%\kps001.sys Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%

%SYSDIR%\ydsvgd.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.JU.1

%SYSDIR%\qo.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.JU.1

%SYSDIR%\ycsvgd.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.JU.1

%SYSDIR%\qo.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.PdPi.CT.1.D

%SYSDIR%\ydsvgd.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.PdPi.CT.1.D

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%SYSDIR%\ycsvgd.sys
   • "DisplayName"="NDIS OSI"

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Security]
   • "Security"=hex:%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Enum]
   • "0"="Root\\LEGACY_YCSVGD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • Start

–  [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\wscsvc]
   • Start

–  [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\VFILT]
   • Start



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   ydsvgd]
   • "MaxWait"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="XWD33Sifix"
   • "CID"="[%chaîne de caractères aléatoire%]"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ycsvgd.sys]
   • "(Default)"="Driver"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\ycsvgd.sys]
   • "(Default)"="Driver"



La clé de registre suivante est changée:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager\
   Memory Management]
   La nouvelle valeur:
   • "EnforceWriteProtection"=dword:00000000

 Email Il n'a pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:


De:
L'expéditeur de cet e-mail est ce qui suit:
   • %le nom d'utilisateur courant% %Adresse IP%


A:
Le destinataire de l'email est le suivant:
   • HAXOR


Sujet:
Le suivant:
   • *%chaîne de caractères aléatoire%*



Corps:
Le corps de l'email est le suivant:
   • %l'information volée%

 Arrêt de processus: La liste des processus qui sont terminés:
   • zapro.exe
   • atrack.exe
   • FwAct.exe
   • iamapp.exe
   • jamapp.exe
   • mpfagent.exe
   • mpftray.exe
   • outpost.exe
   • vsmon.exe
   • zlclient.exe


 Porte dérobée Les ports suivants sont ouverts:

– explorer.exe sur le port TCP 16661 afin de fournir de capacités de porte dérobée
– explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
– explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.


Serveur de contact:
Le suivant:
   • www.grci.info/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Le temps de fonctionnement du Malware
    • Port ouvert
    • Les informations rassemblées, décrites dans la section


Capacités d'accès à distance:
    • Exécuter un fichier
    • Envoyer des e-mails
    • Commence le keylog
    • Visiter un site web

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • ICQ
   • Inetcomm Server
   • Internet Explorer
   • Opera
   • Outlook Express
   • Myle
   • Mozilla
   • MSN
   • Mirabilis
   • Miranda
   • The Bat
   • WebMoney

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • https://www.e-gold.com/acct/ai.asp?c=AS

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • Ebay
   • E-gold
   • Paypal

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\ydsvgd.dll

    Tous les processus suivants:
   • explorer.exe
   • %tous les procès redémarrés après le Malware est actif en mémoire%



But:
L'accès aux sites Web suivants est efficacement bloqué :
   • avp.ch; avp.com; avp.ru; awaps.net; customer.symantec.com;
      dispatch.mcafee.com; download.mcafee.com; engine.awaps.net;
      f-secure.com; ftp.kaspersky.ru; ftp.sophos.com; kaspersky-labs.com;
      kaspersky.com; kaspersky.ru; liveupdate.symantec.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      rads.mcafee.com; securityresponse.symantec.com; service1.symantec.com;
      sophos.com; spd.atdmt.com; symantec.com; trendmicro.com; u2.eset.com;
      update.symantec.com; updates.drweb-online.com; updates.symantec.com;
      us.mcafee.com; virustotal.com


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:

– Le fichier suivants:
   • ycsvgd.sys
   • shsvga.bin
   • qo.sys
   • ydsvgd.sys
   • qo.dll
   • ydsvgd.dll
   • gsvga.bin
   • mnsvgas.bin
   • lps.dat
   • ttsvga.dat
   • t001f.exd
   • wagfola4w.dat
   • shsvga.bin

– Le processus suivant:
   • explorer.exe


La méthode utilisée:
    • Caché de Windows API

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG 2.0

Description insérée par Iulia Diaconescu le jeudi 17 août 2006
Description mise à jour par Iulia Diaconescu le mardi 29 août 2006

Retour . . . .