Контакт
О компании
Пресса
Бета-тест
Language:
Русский
English
Deutsch
Français
Español
Italiano
Português
Русский
Для дома
Avira Antivirus Premium
Avira Internet Security
Для предприятий
Клиент-сервер
Avira Professional Security
Avira Server Security
Avira Business Security Suite
Avira Endpoint Security
Small Business
Сетевые шлюзы
Avira AntiVir MailGate
Avira MailGate Suite
Avira AntiVir Exchange
Avira AntiVir WebGate
Avira WebGate Suite
Avira AntiVir GateWay Bundle
Avira AntiVir SharePoint
Интеграция
Anti-Malware SDK (SAVAPI)
Antispam SDK (SPACE)
Rebranding и комплектация
Услуги по интеграции
Образовательная Cкидка
Поддержка
Для дома
Обзор
Последние новости
Видеоуроки
База знаний
Для предприятий
Обзор
Последние новости
База знаний
Вирусная лаборатория
Описание вирусов
Статистика
VDF История
Вирусы In the Wild
О вредоносном ПО
Отправить подозрительный файл
Загрузка
Загрузка продуктов
Техническая документация
Жизненный цикл продуктов
Обновление VDF
Партнеры
Поиск партнеров
Стать партнером Avira
Аффилированные партнеры
Бесплатнo
Download
Поиск
Резюме
Полное описание
Статистика
Имя:
BDS/Haxdoor.KG
Обнаружен:
16/08/2006
Вид:
Backdoor сервер
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
62.825 байт.
Контрольная сумма MD5:
A06F64CC3047015B82E15005512C47BF
Версия VDF:
6.35.01.99
Версия IVDF:
6.35.01.100
- среда, 16 августа 2006 г.
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Symantec: Backdoor.Haxdoor.O
• Mcafee: BackDoor-BAC
• Kaspersky: Backdoor.Win32.Haxdoor.kg
• TrendMicro: BKDR_HAXDOOR.IE
• Sophos: Troj/Haxdoor-DA
• VirusBuster: Backdoor.Haxdoor.JU
• Bitdefender: Backdoor.Haxdoor.KG
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Отключение приложений безопасности
• Создает файлы
• Создает вредоносные файлы
• Снижает уровень настроек безопасности
• Отслеживается и записывает введенные с клавиатуры символы
• Изменение реестра
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается следующая директория:
• W01083060Z
Создаются следующие файлы:
– Незараженные файлы:
•
%SYSDIR%
\kgctini.dat
•
%SYSDIR%
\lps.dat
–
%SYSDIR%
\kps001.sys Файл является безвредным текстовым файлом со следующим содержимым:
•
%похищенная информация%
–
%SYSDIR%
\ydsvgd.sys После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Haxdoor.JU.1
–
%SYSDIR%
\qo.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Haxdoor.JU.1
–
%SYSDIR%
\ycsvgd.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: BDS/Haxdoor.JU.1
–
%SYSDIR%
\qo.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.PdPi.CT.1.D
–
%SYSDIR%
\ydsvgd.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.PdPi.CT.1.D
Реестр
Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.
– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd]
• "Type"=dword:00000001
• "Start"=dword:00000001
• "ErrorControl"=dword:00000000
• "ImagePath"=hex(2):
%SYSDIR%
\ycsvgd.sys
• "DisplayName"="NDIS OSI"
– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Security]
• "Security"=hex:
%шестнадцатиричное значение%
– [HKLM\SYSTEM\CurrentControlSet\Services\ycsvgd\Enum]
• "0"="Root\\LEGACY_YCSVGD\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
Удаляются значения следующих ключей реестра:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
• Start
– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\wscsvc]
• Start
– [HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\VFILT]
• Start
Создание следующего элемента для "обхода" брандмауера Windows XP:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• "
%WINDIR%
\Explorer.EXE"="
%WINDIR%
\Explorer.EXE:*:Enabled:explorer"
Добавляются следующие ключи реестра:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
ydsvgd]
• "MaxWait"=dword:00000001
• "Asynchronous"=dword:00000001
• "Impersonate"=dword:00000001
• "Startup"="XWD33Sifix"
• "CID"="[
%случайная буквенная комбинация%
]"
– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ycsvgd.sys]
• "(Default)"="Driver"
– [HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\ycsvgd.sys]
• "(Default)"="Driver"
Изменяется следующий ключ реестра:
– [HKLM\SYSTEM\ControlSet001\Control\Session Manager\
Memory Management]
Новое значение:
• "EnforceWriteProtection"=dword:00000000
Email
Не имеет собственной процедуры размножения. Занимается рассылкой электронных писем. Адресат может оказаться отправителем. Подробности приведены ниже:
От:
Отправитель письма:
•
%актуальное имя пользователя%
%IP адрес%
Кому:
Получателем письма является:
• HAXOR
Тема:
Следующее:
• *
%случайная
Описание добавил Iulia Diaconescu в(о) четверг, 17 августа 2006 г.
Описание обновил Iulia Diaconescu в(о) вторник, 29 августа 2006 г.
Назад
.
.
.
.
