English
Deutsch
Français
Español
Italiano
Home
Virus Info
BDS/Haxdoor.GJ.3
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
BDS/Haxdoor.GJ.3 - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/Haxdoor.GJ.3
発見日:
02/02/2006
タイプ
バックドア・サーバ型
感染報告有り
はい
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
17.565 バイト
MD5 チェックサム
e2761e88642324801fa8754261bb81b4
VDFファージョン:
6.33.00.183
- Thu, 02 Feb 2006 06:59 (GMT+1)
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Backdoor.Win32.Haxdoor.gj
• TrendMicro(トレンドマイクロ) BKDR_HAXDOOR.DU
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• 悪意ファイルを作成します。
• 文字入力を記録します。
• レジストリの改変。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
以下のファイルが作成されます:
–
%SYSDIR%
\wnlogow.sys 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Haxdoor.GJ.4
–
%SYSDIR%
\avload32.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: BDS/Haxdoor.GJ.2
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow]
• Type = dword:00000001
• Start = dword:00000001
• ErrorControl = dword:00000000
• ImagePath = \??\
%SYSDIR%
\wnlogow.sys
• DisplayName = BLUETOOTH IPv4 service
– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Security]
• Security =
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Enum]
• 0 = Root\\LEGACY_WNLOGOW\\0000
• Count = dword:00000001
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW]
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000]
• Service = wnlogow
• Legacy = dword:00000001
• ConfigFlags = dword:00000000
• Class = LegacyDriver
• ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
• DeviceDesc = BLUETOOTH IPv4 service
• Capabilities = dword:00000000
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000\
Control]
• *NewlyCreated* = dword:00000000
• ActiveService = wnlogow
ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
•
%WINDIR%
\Explorer.EXE =
%WINDIR%
\Explorer.EXE:*:Enabled:explorer
以下のレジストリ・キーが追加されます:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
avload32]
• DllName = avload32.dll
• Startup = avload32
• Impersonate = dword:00000001
• Asynchronous = dword:00000001
• MaxWait = dword:00000001
• keyR2 = [
%ランダムな文字列%
]
以下のレジストリ・キーは変更されます:
あらゆるExplorerの設定:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
前の値
• WarnOnZoneCrossing =
%ユーザ設定%
• WarnOnPostRedirect =
%ユーザ設定%
• WarnOnBadCertRecving =
%ユーザ設定%
新しい値
• WarnOnZoneCrossing = dword:00000000
• WarnOnPostRedirect = dword:00000000
• WarnOnBadCertRecving = dword:00000000
バックドア
以下のポートが開かれます:
– winlogon.exe TCPポートに 9066 プロキシ・サーバを準備するため
– winlogon.exe TCPポートに 9067 Socks 5 プロキシ・サーバを準備するため
サーバに接続します。
以下のもの:
• http://www.superstability.info/forte/**********
これはPHPスクリプトを使ったHTTP GETとPOSTメソッドを通して行われました。
以下についての情報を送ります:
• 現在のマルウェアのステータス
• 開かれたポート
• 窃盗セクションに説明されている収集された情報
リモート・コントロール機能
• キーログの開始
窃盗
以下の情報を盗もうとします:
– パスワード入力箇所に入力されたパスワード
– オートコンプリート機能を利用して記録されたパスワード
– レジストリ・キーから取り出されたメール・アカウント情報:HKCUSoftwareMicrosoftInternet Account ManagerAccounts
– 以下のプログラムからのパスワード:
• Opera
• ICQ
• The Bat
• Outlook Express
• MSN Messenger
• MyIE
• Mozilla
• Maxthon
• Miranda
– ウェブサイトを訪問した後ログインを開始します:
•
%ログインフォームを含むすべてのウェブサイト%
– 取り込むのは:
• ウインドウ情報
• ログイン情報
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%SYSDIR%
\avload32.dll
プロセス名:|以下のすべて:
• explorer.exe
成功すると、挿入された部分は実行されたまま、マルウェアは自身のプロセスを終了させます。
ルートキット・テクノロジー(Rootkit Technology)
それはマルウェア特有のテクノロジーです。マルウェアはその存在を、システム・ユーティリティー、セキュリティー・アプリケーション、そしてユーザ自身からも隠します。
以下のものを隠します:
– それ自身のファイル
使用されているメソッド:
• ウインドウズAPIから隠されています:
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• FSG
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Fri, 03 Feb 2006 18:40 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Fri, 03 Feb 2006 19:07 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
ADSPY/AdSpy.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/Dldr.Bredolab.AX
APPL/Tool.EvID4226
Get comfortable up to the minute info from Avira as
Detects and removes distinct malware and its variants.
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
|
Privacy
|
Sitemap
|
Feedback
|
Imprint
|
FAQ
|
Contact
Virus Info BDS/Haxdoor.GJ.3
Print this page
.gif)
