BDS/Haxdoor.GA.12 - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Haxdoor.GA.12
Scoperto:	24/07/2006
Tipo:	Backdoor Server
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	56.276 Byte
Somma di controllo MD5:	82a365b7a90B47d9cf0F2c9cd63c3ad1
Versione VDF:	6.35.00.208
Versione IVDF:	6.35.00.248

Generale Alias:
   • Symantec: Backdoor.Haxdoor.O
   • Mcafee: BackDoor-BAC
   • Kaspersky: Backdoor.Win32.Haxdoor.ga
   • Sophos: Troj/Haxdoor-CP
   • VirusBuster: trojan Trojan.DR.Haxdoor.JI
   • Bitdefender: Backdoor.Haxdoor.JK

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Disattiva le applicazioni di sicurezza
   • Duplica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Vengono creati i seguenti file:

– %SYSDIR%\yvsvga.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\qo.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\yvsvga.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Haxdoor.GA.13

– %SYSDIR%\ycsvga.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Haxdoor.GA.13

– %SYSDIR%\qo.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Haxdoor.GA.13

– %SYSDIR%\lps.dat
– %SYSDIR%\kgctini.dat
– %SYSDIR%\kps001.sys Questo file contiene le battute di tastiera recuperate.
– %SYSDIR%\shsvga.bin
– %SYSDIR%\gsvga.bin
– %SYSDIR%\mnsvgas.bin
– %SYSDIR%\ttsvga.dat
– %SYSDIR%\tnstt.a3d
– %SYSDIR%\wagfola4w.dat

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   yvsvga
   • "CID"=%hex value%
   • "DllName"="yvsvga.dll"
   • "Startup"="XFD00Safex"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ycsvga.sys
   • @="Driver"

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ycsvga.sys
   • @="Driver"

Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\ycsvga
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\ycsvga.sys"
   • "DisplayName"="NDIS OSI"

– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\ycsvg.sys"
   • "DisplayName"="NDIS OSI32"

Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SYSTEM\CurrentControlSet\Services\ycsvga\Enum
   • "0"="Root\\LEGACY_YCSVGA\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\yvsvga\Enum
   • "Count"=dword:00000000
   • "NextInstance"=dword:00000000
   • "INITSTARTFAILED"=dword:00000001

Processi terminati Lista dei processi che vengono terminati:
   • zapro.exe
   • vsmon.exe
   • jamapp.exe
   • atrack.exe
   • iamapp.exe
   • FwAct.exe
   • mpfagent.exe
   • outpost.exe
   • zlclient.exe
   • mpftray.exe

Backdoor Le seguenti porte sono aperte:

– %SYSDIR%\yvsvga.dll su una porta TCP casuale
– %SYSDIR%\yvsvga.dll su una porta TCP casuale
– %SYSDIR%\yvsvga.dll su una porta TCP casuale

Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • File LOG creati

Capacità di controllo remoto:
    • Download di file
    • Eseguire file
    • Inviare email
    • Inizia keylog

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Cattura:
• Battute di tastiera

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
• www.e-gold.com

Come il virus si inserisce nei processi – Inserisce il seguente file in un processo: %SYSDIR%\yvsvga.dll

    Nome del processo:
   • %tutti i processi iniziati dopo l'attivazione del malware nella
      memoria%

Purpose:
L'accesso ai seguenti siti web è effettivamente bloccato:
   • customer.symantec.com; dispatch.mcafee.com; download.mcafee.com;
      avp.com avp.ru awaps.net; virustotal.com; engine.awaps.net;
      f-secure.com; updates.drweb-online.com; ftp.kaspersky.ru;
      rads.mcafee.com; ftp.sophos.com; liveupdate.symantec.com;
      kaspersky.com; kaspersky-labs.com; kaspersky.ru;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      spd.atdmt.com; symantec.com; trendmicro.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com; u2.eset.com

Tecnologia Rootkit Nasconde il seguente:
– I propri file
– I propri processi

Metodo utilizzato:
• Nascosto dalle Windows API

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• FSG

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Bogdan Iliuta il Wed, 20 Sep 2006 15:11 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Mon, 16 Oct 2006 12:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back