BDS/Haxdoor.KG - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Haxdoor.KG
Scoperto:	16/08/2006
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	62.825 Byte
Somma di controllo MD5:	A06F64CC3047015B82E15005512C47BF
Versione VDF:	6.35.01.99
Versione IVDF:	6.35.01.100

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Backdoor.Haxdoor.O
   • Mcafee: BackDoor-BAC
   • Kaspersky: Backdoor.Win32.Haxdoor.kg
   • TrendMicro: BKDR_HAXDOOR.IE
   • Sophos: Troj/Haxdoor-DA
   • VirusBuster: Backdoor.Haxdoor.JU
   • Bitdefender: Backdoor.Haxdoor.KG

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Crea la seguente directory:
   • W01083060Z

Vengono creati i seguenti file:

– File “non maligni”:
   • %SYSDIR%\kgctini.dat
   • %SYSDIR%\lps.dat

– %SYSDIR%\kps001.sys Questo è un file di testo “non maligno” con il seguente contenuto:
   • %informazioni sottratte%

– %SYSDIR%\ydsvgd.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Haxdoor.JU.1

– %SYSDIR%\ycsvgd.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\ydsvgd.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.PdPi.CT.1.D

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%SYSDIR%\ycsvgd.sys
   • "DisplayName"="NDIS OSI"

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Enum]
   • "0"="Root\\LEGACY_YCSVGD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

I valori delle seguenti chiavi di registro vengono rimossi:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • Start

– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\wscsvc]
   • Start

– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\VFILT]
   • Start

Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   ydsvgd]
   • "MaxWait"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="XWD33Sifix"
   • "CID"="[%stringa di caratteri casuale%]"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ycsvgd.sys]
   • "(Default)"="Driver"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\ycsvgd.sys]
   • "(Default)"="Driver"

Viene cambiata la seguente chiave di registro:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager\
   Memory Management]
   Nuovo valore:
   • "EnforceWriteProtection"=dword:00000000

Email Non ha una propria procedura di diffusione ma ha la capacità di inviare un'email. Molto probabilmente il ricevente è l'autore. Le caratteristiche sono descritte qui sotto:

Da:
Il mittente della mail è il seguente:
   • %nome utente corrente% %indirizzo IP%

A:
Il destinatario dell'email è il seguente:
   • HAXOR

Oggetto:
Il seguente:
   • *%stringa di caratteri casuale%*

Corpo dell'email:
Il corpo dell’email è come il seguente:
   • %informazioni sottratte%

Processi terminati Lista dei processi che vengono terminati:
   • zapro.exe
   • atrack.exe
   • FwAct.exe
   • iamapp.exe
   • jamapp.exe
   • mpfagent.exe
   • mpftray.exe
   • outpost.exe
   • vsmon.exe
   • zlclient.exe

Backdoor Le seguenti porte sono aperte:

– explorer.exe sulla porta TCP 16661 con lo scopo di procurarsi delle possibili backdoor.
– explorer.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy.
– explorer.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.

Contatta il server:
Il seguente:
   • www.grci.info/**********

Come risultato può inviare alcune informazioni. Questo è fatto tramite i metodi HTTP GET e POST, utilizzando uno script PHP.

Invia informazioni riguardanti:
    • Stato corrente del malware
    • Uptime del malware
    • Porta aperta
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

Capacità di controllo remoto:
    • Eseguire file
    • Inviare email
    • Inizia keylog
    • Visitare un sito web

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le password dai seguenti programmi:
   • ICQ
   • Inetcomm Server
   • Internet Explorer
   • Opera
   • Outlook Express
   • Myle
   • Mozilla
   • MSN
   • Mirabilis
   • Miranda
   • The Bat
   • WebMoney

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • https://www.e-gold.com/acct/ai.asp?c=AS

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • Ebay
   • E-gold
   • Paypal

– Cattura:
    • Battute di tastiera
    • Informazioni della finestra

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %SYSDIR%\ydsvgd.dll

    Tutti i seguenti processi:
   • explorer.exe
   • %tutti i processi iniziati dopo l'attivazione del malware nella memoria%

Purpose:
L'accesso ai seguenti siti web è effettivamente bloccato:
   • avp.ch; avp.com; avp.ru; awaps.net; customer.symantec.com;
      dispatch.mcafee.com; download.mcafee.com; engine.awaps.net;
      f-secure.com; ftp.kaspersky.ru; ftp.sophos.com; kaspersky-labs.com;
      kaspersky.com; kaspersky.ru; liveupdate.symantec.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      rads.mcafee.com; securityresponse.symantec.com; service1.symantec.com;
      sophos.com; spd.atdmt.com; symantec.com; trendmicro.com; u2.eset.com;
      update.symantec.com; updates.drweb-online.com; updates.symantec.com;
      us.mcafee.com; virustotal.com

Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.

Nasconde il seguente:

– I seguenti file:
   • ycsvgd.sys
   • shsvga.bin
   • qo.sys
   • ydsvgd.sys
   • qo.dll
   • ydsvgd.dll
   • gsvga.bin
   • mnsvgas.bin
   • lps.dat
   • ttsvga.dat
   • t001f.exd
   • wagfola4w.dat
   • shsvga.bin

– Il seguente processo:
   • explorer.exe

Metodo utilizzato:
    • Nascosto dalle Windows API

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• FSG 2.0

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Thu, 17 Aug 2006 13:33 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Tue, 29 Aug 2006 15:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro