Имя:BDS/Haxdoor.AF
Обнаружен:20/02/2006
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:23.877 байт.
Контрольная сумма MD5:34feef2ba829a1843afa45464c0Efa0D
Версия VDF:6.33.01.11

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.Goldun.hp
   •  TrendMicro: TSPY_GOLDUN.CI
   •  Sophos: Troj/Goldun-BX
   •  VirusBuster: trojan TrojanSpy.Goldun.CV
   •  Bitdefender: Trojan.PWS.Goldspy.F


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создаются следующие файлы:

– Незараженный файл:
   • %SYSDIR%\tick48.bin

%SYSDIR%\directut.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.gh.2

%SYSDIR%\directout.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Goldun.HP

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   directut]
   • "nk48id" = "[NG%случайная буквенная комбинация%]"
   • "MaxWait" = dword:00000001
   • "Asynchronous" = dword:00000001
   • "Impersonate" = dword:00000001
   • "Startup" = "directut"
   • "DllName" = "directut.dll"



Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\directout]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\directout.sys
   • "DisplayName"="Printer direct access"

– [HKLM\SYSTEM\CurrentControlSet\Services\directout\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\directout\Enum]
   • "0"="Root\\LEGACY_DIRECTOUT\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT\0000]
   • "Service"="directout"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Printer direct access"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DIRECTOUT\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="directout"



Создание следующих элементов для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%WINDIR%\Explorer.EXE"="%WINDIR%\Explorer.EXE:*:Enabled:explorer"
   • "\\??\\%SYSDIR%\winlogon.exe"="\\??\\%SYSDIR%\winlogon.exe:*:Enabled:explorer"

 Backdoor Открывается порт:

– winlogon.exe к произвольному TCP порту


Устанавливает соединение с сервером
Следующий:
   • www.skyinet.info/r4/**********

В результате может пересылаться информация. Это происходит из-за использования методов HTTP GET и POST с применением PHP скрипта.


Передает информацию о:
    • IP адрес
    • Открытый порт
    • Полученная из похищенного блока информация
    • Информация об операционной системе Windows

 Кража Попытка кражи следующей информации:

– После посещения следующей веб-страницы была запущена функция протоколирования:
   • %каждая основанная на HTTPS содержащая
      лог-форму ве
Описание добавил Daniel Constantin в(о) среда, 22 февраля 2006 г.
Описание обновил Daniel Constantin в(о) понедельник, 6 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.