BDS/Haxdoor.KG - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Haxdoor.KG
Data em que surgiu:	16/08/2006
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	62.825 Bytes
MD5 checksum:	A06F64CC3047015B82E15005512C47BF
Versão VDF:	6.35.01.99
Versão IVDF:	6.35.01.100

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: Backdoor.Haxdoor.O
   • Mcafee: BackDoor-BAC
   • Kaspersky: Backdoor.Win32.Haxdoor.kg
   • TrendMicro: BKDR_HAXDOOR.IE
   • Sophos: Troj/Haxdoor-DA
   • VirusBuster: Backdoor.Haxdoor.JU
   • Bitdefender: Backdoor.Haxdoor.KG

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Cria a seguinte pasta:
   • W01083060Z

São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %SYSDIR%\kgctini.dat
   • %SYSDIR%\lps.dat

– %SYSDIR%\kps001.sys É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • % informação roubada%

– %SYSDIR%\ydsvgd.sys Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Haxdoor.JU.1

– %SYSDIR%\ycsvgd.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Haxdoor.JU.1

– %SYSDIR%\qo.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.PdPi.CT.1.D

– %SYSDIR%\ydsvgd.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.PdPi.CT.1.D

Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%SYSDIR%\ycsvgd.sys
   • "DisplayName"="NDIS OSI"

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Enum]
   • "0"="Root\\LEGACY_YCSVGD\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Os valores das seguintes chaves registo do windows são eliminados:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   • Start

– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\wscsvc]
   • Start

– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\VFILT]
   • Start

Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"

São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   ydsvgd]
   • "MaxWait"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="XWD33Sifix"
   • "CID"="[%uma série de caracteres aleatórios%]"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ycsvgd.sys]
   • "(Default)"="Driver"

– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\ycsvgd.sys]
   • "(Default)"="Driver"

O seguinte valor do registo é alterado:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager\
   Memory Management]
   Valor recente:
   • "EnforceWriteProtection"=dword:00000000

E-mail Não tem a sua própria rotina de propagação mas tem capacidade para enviar um e-mail. É provável que o destinatário seja o autor. As características são as seguintes:

De:
O remetente do e-mail é o seguinte:
   • % nome do utilizador actual% %endereço IP%

Para:
O destinatário do e-mail é o seguinte:
   • HAXOR

Assunto:
O seguinte:
   • *%uma série de caracteres aleatórios%*

Corpo:
O corpo do email é o seguinte:
   • % informação roubada%

Terminar o processo A seguinte lista de processos são terminados:
   • zapro.exe
   • atrack.exe
   • FwAct.exe
   • iamapp.exe
   • jamapp.exe
   • mpfagent.exe
   • mpftray.exe
   • outpost.exe
   • vsmon.exe
   • zlclient.exe

Backdoor São abertas as seguintes portas:

– explorer.exe numa porta TCP 16661 Por forma a fornecer capacidades backdoor.
– explorer.exe numa porta TCP aleatória de forma a fornecer um servidor proxy.
– explorer.exe numa porta TCP aleatória de forma a fornecer um servidor proxy Socks 4.

Contacta o servidor:
Seguinte:
   • www.grci.info/**********

Como resultado pode enviar alguma informação. Isto é feito pelos métodos HTTP GET e POOS usando scripts PHP.

Envia informação sobre:
    • Situação actual de malware
    • Tempo de vida do malware
    • Porta aberta
    • Informação recolhida na secção de roubos.

Capacidades de controlo remoto:
    • Executa o ficheiro
    • Envia emails
    • Inicia o keylog
    • Visita um Web site

Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave guardadas e que são usadas pela função AutoComplete
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • ICQ
   • Inetcomm Server
   • Internet Explorer
   • Opera
   • Outlook Express
   • Myle
   • Mozilla
   • MSN
   • Mirabilis
   • Miranda
   • The Bat
   • WebMoney

– É iniciada uma rotina de logging depois de visitar um Web site:
   • https://www.e-gold.com/acct/ai.asp?c=AS

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • Ebay
   • E-gold
   • Paypal

– Captura:
    • Teclar
    • Janela de informação

Introdução de código viral noutros processos – Introduz o seguinte ficheiro num processo: %SYSDIR%\ydsvgd.dll

    Todos os processos que se seguem:
   • explorer.exe
   • %são iniciados todos os processos logo que o malware fica activo na memória%

Propósito:
O acesso aos seguintes sites é bloqueado:
   • avp.ch; avp.com; avp.ru; awaps.net; customer.symantec.com;
      dispatch.mcafee.com; download.mcafee.com; engine.awaps.net;
      f-secure.com; ftp.kaspersky.ru; ftp.sophos.com; kaspersky-labs.com;
      kaspersky.com; kaspersky.ru; liveupdate.symantec.com;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      rads.mcafee.com; securityresponse.symantec.com; service1.symantec.com;
      sophos.com; spd.atdmt.com; symantec.com; trendmicro.com; u2.eset.com;
      update.symantec.com; updates.drweb-online.com; updates.symantec.com;
      us.mcafee.com; virustotal.com

Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.

Oculta o seguinte:

– Os seguintes ficheiros:
   • ycsvgd.sys
   • shsvga.bin
   • qo.sys
   • ydsvgd.sys
   • qo.dll
   • ydsvgd.dll
   • gsvga.bin
   • mnsvgas.bin
   • lps.dat
   • ttsvga.dat
   • t001f.exd
   • wagfola4w.dat
   • shsvga.bin

– O seguinte processo:
   • explorer.exe

Forma utilizada
    • Esconde-se na API do Windows

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• FSG 2.0

Veja aqui uma breve descrição.

Descrição adicionada por Iulia Diaconescu em Thu, 17 Aug 2006 13:33 (GMT+1)
Descrição adicionada por Iulia Diaconescu em Tue, 29 Aug 2006 15:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back