BDS/Haxdoor.KG - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/Haxdoor.KG
La date de la découverte:	16/08/2006
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	62.825 Octets
Somme de contrôle MD5:	A06F64CC3047015B82E15005512C47BF
Version VDF:	6.35.01.99
Version IVDF:	6.35.01.100

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: Backdoor.Haxdoor.O
   • Mcafee: BackDoor-BAC
   • Kaspersky: Backdoor.Win32.Haxdoor.kg
   • TrendMicro: BKDR_HAXDOOR.IE
   • Sophos: Troj/Haxdoor-DA
   • VirusBuster: Backdoor.Haxdoor.JU
   • Bitdefender: Backdoor.Haxdoor.KG

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il crée le répertoire suivant:
   • W01083060Z

Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %SYSDIR%\kgctini.dat
   • %SYSDIR%\lps.dat

– %SYSDIR%\kps001.sys Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %l'information volée%

– %SYSDIR%\ydsvgd.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.JU.1

– %SYSDIR%\ycsvgd.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\ydsvgd.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.PdPi.CT.1.D

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%SYSDIR%\ycsvgd.sys
   • "DisplayName"="NDIS OSI"

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Security]
   • "Security"=hex:%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Enum]
   • "0"="Root\\LEGACY_YCSVGD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Les valeurs des clés de registre suivantes sont supprimées:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • Start

– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\wscsvc]
   • Start

– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\VFILT]
   • Start

Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"

Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   ydsvgd]
   • "MaxWait"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="XWD33Sifix"
   • "CID"="[%chaîne de caractères aléatoire%]"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ycsvgd.sys]
   • "(Default)"="Driver"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\ycsvgd.sys]
   • "(Default)"="Driver"

La clé de registre suivante est changée:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager\
   Memory Management]
   La nouvelle valeur:
   • "EnforceWriteProtection"=dword:00000000

Email Il n'as pas sa propre routine de propagation mais il a la capacité d'envoyer un e-mail. Il est plus que possible que le destinataire soit l'auteur. Les caractéristiques sont décrites ci-dessous:

De:
L'expéditeur de cet e-mail est ce qui suit:
   • %le nom d'utilisateur courant% %Adresse IP%

A:
Le destinataire de l'email est le suivant:
   • HAXOR

Sujet:
Le suivant:
   • *%chaîne de caractères aléatoire%*

Corps:
Le corps de l'email est le suivant:
   • %l'information volée%

Arrêt de processus: La liste des processus qui sont terminés:
   • zapro.exe
   • atrack.exe
   • FwAct.exe
   • iamapp.exe
   • jamapp.exe
   • mpfagent.exe
   • mpftray.exe
   • outpost.exe
   • vsmon.exe
   • zlclient.exe

Porte dérobée Les ports suivants sont ouverts:

– explorer.exe sur le port TCP 16661 afin de fournir de capacités de porte dérobée
– explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
– explorer.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.

Serveur de contact:
Le suivant:
   • www.grci.info/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST

Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Le temps de fonctionnement du Malware
    • Port ouvert
    • Les informations rassemblées, décrites dans la section

Capacités d'accès à distance:
    • Exécuter un fichier
    • Envoyer des e-mails
    • Commence le keylog
    • Visiter un site web

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • ICQ
   • Inetcomm Server
   • Internet Explorer
   • Opera
   • Outlook Express
   • Myle
   • Mozilla
   • MSN
   • Mirabilis
   • Miranda
   • The Bat
   • WebMoney

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • https://www.e-gold.com/acct/ai.asp?c=AS

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • Ebay
   • E-gold
   • Paypal

– Il capture:
    • Frappes de touche
    • Fenêtre d'information

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %SYSDIR%\ydsvgd.dll

    Tous les processus suivants:
   • explorer.exe
   • %tous les procès redémarrés après le Malware est actif en mémoire%

But:
L'accès aux sites Web suivants est efficacement bloqué :
   • avp.ch; avp.com; avp.ru; awaps.net; customer.symantec.com;
      dispatch.mcafee.com; download.mcafee.com; engine.awaps.net;
      f-secure.com; ftp.kaspersky.ru; ftp.sophos.com; kaspersky-labs.com;
      kaspersky.com; kaspersky.ru; liveupdate.symantec.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      rads.mcafee.com; securityresponse.symantec.com; service1.symantec.com;
      sophos.com; spd.atdmt.com; symantec.com; trendmicro.com; u2.eset.com;
      update.symantec.com; updates.drweb-online.com; updates.symantec.com;
      us.mcafee.com; virustotal.com

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:

– Le fichier suivants:
   • ycsvgd.sys
   • shsvga.bin
   • qo.sys
   • ydsvgd.sys
   • qo.dll
   • ydsvgd.dll
   • gsvga.bin
   • mnsvgas.bin
   • lps.dat
   • ttsvga.dat
   • t001f.exd
   • wagfola4w.dat
   • shsvga.bin

– Le processus suivant:
   • explorer.exe

La méthode utilisée:
    • Caché de Windows API

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG 2.0

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Thu, 17 Aug 2006 13:33 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Tue, 29 Aug 2006 15:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour