VírusBDS/Haxdoor.GJ.3
Data em que surgiu:02/02/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:17.565 Bytes
MD5 checksum:e2761e88642324801fa8754261bb81b4
Versão VDF:6.33.00.183

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Backdoor.Win32.Haxdoor.gj
   •  TrendMicro: BKDR_HAXDOOR.DU


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros São criados os seguintes ficheiros:

%SYSDIR%\wnlogow.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Haxdoor.GJ.4

%SYSDIR%\avload32.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Haxdoor.GJ.2

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow]
   • Type = dword:00000001
   • Start = dword:00000001
   • ErrorControl = dword:00000000
   • ImagePath = \??\%SYSDIR%\wnlogow.sys
   • DisplayName = BLUETOOTH IPv4 service

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wnlogow\Enum]
   • 0 = Root\\LEGACY_WNLOGOW\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000]
   • Service = wnlogow
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = BLUETOOTH IPv4 service
   • Capabilities = dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WNLOGOW\0000\
   Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = wnlogow



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %WINDIR%\Explorer.EXE = %WINDIR%\Explorer.EXE:*:Enabled:explorer



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   avload32]
   • DllName = avload32.dll
   • Startup = avload32
   • Impersonate = dword:00000001
   • Asynchronous = dword:00000001
   • MaxWait = dword:00000001
   • keyR2 = [%uma série de caracteres aleatórios%]



O seguinte valor do registo é alterado:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor anterior:
   • WarnOnZoneCrossing = %definições do utilizador %
   • WarnOnPostRedirect = %definições do utilizador %
   • WarnOnBadCertRecving = %definições do utilizador %
   Valor recente:
   • WarnOnZoneCrossing = dword:00000000
   • WarnOnPostRedirect = dword:00000000
   • WarnOnBadCertRecving = dword:00000000

 Backdoor São abertas as seguintes portas:

– winlogon.exe numa porta TCP 9066 de forma a fornecer um servidor proxy.
– winlogon.exe numa porta TCP 9067 de forma a fornecer um servidor proxy Socks 5.


Contacta o servidor:
Seguinte:
   • http://www.superstability.info/forte/**********

Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.


Envia informação sobre:
    • Situação actual de malware
    • Porta aberta
    • Informação recolhida na secção de roubos.


Capacidades de controlo remoto:
    • Inicia o keylog

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Palavras-chave guardadas e que são usadas pela função AutoComplete
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • Opera
   • ICQ
   • The Bat
   • Outlook Express
   • MSN Messenger
   • MyIE
   • Mozilla
   • Maxthon
   • Miranda

– É iniciada uma rotina de logging depois de visitar um Web site:
   • %qualquer website que contenha um formulário de login%

– Captura:
    • Janela de informação
    • Informação de login

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\avload32.dll

    Nome do processo:
   • explorer.exe

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– Os seus próprios ficheiros


Forma utilizada
    • Esconde-se na API do Windows

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Andrei Gherman em sexta-feira, 3 de fevereiro de 2006
Descrição atualizada por Andrei Gherman em sexta-feira, 3 de fevereiro de 2006

Voltar . . . .