BDS/Haxdoor.GA.12 - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/Haxdoor.GA.12
La date de la découverte:	24/07/2006
Type:	Serveur porte dérobée
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	56.276 Octets
Somme de contrôle MD5:	82a365b7a90B47d9cf0F2c9cd63c3ad1
Version VDF:	6.35.00.208
Version IVDF:	6.35.00.248

Général Les alias:
   • Symantec: Backdoor.Haxdoor.O
   • Mcafee: BackDoor-BAC
   • Kaspersky: Backdoor.Win32.Haxdoor.ga
   • Sophos: Troj/Haxdoor-CP
   • VirusBuster: trojan Trojan.DR.Haxdoor.JI
   • Bitdefender: Backdoor.Haxdoor.JK

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Arrêt les applications de sécurité
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Les fichiers suivants sont créés:

– %SYSDIR%\yvsvga.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\qo.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\yvsvga.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.GA.13

– %SYSDIR%\ycsvga.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.GA.13

– %SYSDIR%\qo.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Haxdoor.GA.13

– %SYSDIR%\lps.dat
– %SYSDIR%\kgctini.dat
– %SYSDIR%\kps001.sys Ce fichier contient des frappes de touche collectés.
– %SYSDIR%\shsvga.bin
– %SYSDIR%\gsvga.bin
– %SYSDIR%\mnsvgas.bin
– %SYSDIR%\ttsvga.dat
– %SYSDIR%\tnstt.a3d
– %SYSDIR%\wagfola4w.dat

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   yvsvga
   • "CID"=%hex value%
   • "DllName"="yvsvga.dll"
   • "Startup"="XFD00Safex"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ycsvga.sys
   • @="Driver"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ycsvga.sys
   • @="Driver"

Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\ycsvga
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\ycsvga.sys"
   • "DisplayName"="NDIS OSI"

– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\ycsvg.sys"
   • "DisplayName"="NDIS OSI32"

Les clés de registre suivantes sont ajoutée:

– HKLM\SYSTEM\CurrentControlSet\Services\ycsvga\Enum
   • "0"="Root\\LEGACY_YCSVGA\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga\Enum
   • "Count"=dword:00000000
   • "NextInstance"=dword:00000000
   • "INITSTARTFAILED"=dword:00000001

Arrêt de processus: La liste des processus qui sont terminés:
   • zapro.exe
   • vsmon.exe
   • jamapp.exe
   • atrack.exe
   • iamapp.exe
   • FwAct.exe
   • mpfagent.exe
   • outpost.exe
   • zlclient.exe
   • mpftray.exe

Porte dérobée Les ports suivants sont ouverts:

– %SYSDIR%\yvsvga.dll sur un port TCP aléatoire
– %SYSDIR%\yvsvga.dll sur un port TCP aléatoire
– %SYSDIR%\yvsvga.dll sur un port TCP aléatoire

Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Crée de fichiers de journalisation.

Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Envoyer des e-mails
    • Commence le keylog

Vol d'informations Il essaie de voler l'information suivante:
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Il capture:
• Frappes de touche

– Une routine de journalisation est commencé après qu'un site web soit visité.
• www.e-gold.com

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: %SYSDIR%\yvsvga.dll

    Nom du processus :
   • %tous les procès redémarrés après le Malware est actif en
      mémoire%

But:
L'accès aux sites Web suivants est efficacement bloqué :
   • customer.symantec.com; dispatch.mcafee.com; download.mcafee.com;
      avp.com avp.ru awaps.net; virustotal.com; engine.awaps.net;
      f-secure.com; updates.drweb-online.com; ftp.kaspersky.ru;
      rads.mcafee.com; ftp.sophos.com; liveupdate.symantec.com;
      kaspersky.com; kaspersky-labs.com; kaspersky.ru;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      spd.atdmt.com; symantec.com; trendmicro.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com; u2.eset.com

La technologie Rootkit Il cache les suivants:
– Ses propres fichiers
– Ses propres processus

La méthode utilisée:
• Caché de Windows API

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• FSG

Voir la description brève ici.

Description inséré par Bogdan Iliuta sur Wed, 20 Sep 2006 15:11 (GMT+1)
Description mise à jour par Andrei Ivanes sur Mon, 16 Oct 2006 12:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour