Что за вирус haxdoor
Добавлен в вирусную базу Dr.Web: 2006-03-29
Описание добавлено: 2006-03-29
Уязвимые ОС: Win NT-based
Размер: 55,066 байт
Упакован: FSG, UPX
-
При запуске создает %systemroot%\system32\yvpp01.dll и регистрирует эту библиотеку в автозапуске как расширение Winlogon:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvpp01
DllName = yvpp01.dll
Помимо этого, создает следующие файлы:
%systemroot%\system32\qo.dll, является копией %systemroot%\system32\yvpp01
%systemroot%\system32\yvpp02.sys
%systemroot%\system32\qo.sys, является копией %systemroot%\system32\yvpp02.sys
%systemroot%\system32\yvpp01.sys, является копией %systemroot%\system32\yvpp02.sys
%systemroot%\system32\kgctini.dat
%systemroot%\system32\lps.dat
Регистрирует устанавливаемый драйвер в реестре и загружает его посредством системного Service Control Manager.
Внедряет свою библиотеку в Explorer.exe по механизму удаленных потоков.
Обеспечивает загрузчку своего драйвера в Безопасном режиме, модифицируя следующие ветви системного реестра:
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yvpp02.sys
HKEY_LOCAL_MACHINE \MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\yvpp02.sys
Cтатически отключает защиту памяти ядра от модификации перед изменением адреса перехватываемых функций в KiST:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management
EnforceWriteProtection = 0x00000000 (0)
Осуществляет маскировку системного процесса Explorer.exe.
Прослушивает два выбранных случайным образом TCP-порта и TCP-порт 16661.
После перезагрузки Windows BackDoor.Haxdoor.232 маскирует системный процесс Winlogon.exe, который создает удаленные потоки в процессе Explorer.exe.
Драйвер %systemroot%\system32\yvpp02.sys перехватывает следующие функции путем подмены адресов функций в KiST:
NtCreateProcess
NtCreateProcessEx
NtOpenThread
NtQueryDirectoryFile
NtQuerySystemInformation
Перехват производится с целью маскировки своих файлов на диске, маскировки заданных процессов, так же для слежения за созданием процессов и потоков.
В User Mode идет установка перехватов путем модификации машинного кода функций системных библиотек из ядра. Перехватывается функция LdrLoadDll библиотеки ntdll.dll и InternetConnectA wininet.dll. При создании процесса, драйвер внедряет в него код руткита и ставит перехватчик на функцию LdrLoadDll. Таким образом отслеживаются загружаемые библиотекик. При попытке прилож загрузить библиотеку wininet.dll, производится перехват функции InternetConnectA. Что позволяет шпионить за посещаемыми страницами пользователем.
BackDoor.Haxdoor.232 осуществляет мониторинг ключа автозагрузки (Notify) и пересоздание его в случае удаления/модификации.
Циклически перепроверяет адреса перехваченных функций, и, в случае не совпадения производит снова перехват.
%systemroot%\system32\yvpp01.dll имеет функционал шпиона – осуществляет поиск в реестре ключей, принадлежащих программам ICQ, Miranda, определяет присутствие WM Keeper и ищет пароли, используемые этими программами. Блокирует доступ к сайтам производителей антивирусных средств защиты и серверам обновлений антивирусных продуктов. Анализирует файл историю посещений пользователя сайтов Ebay, E-gold, Paypal (браузером IE). Проверяет список процессов и завершает следующие процессы:
zapro.exe
vsmon.exe
jamapp.exe
atrack.exe
iamapp.exe
FwAct.exe
mpfagent.exe
outpost.exe
zlclient.exe
mpftray.exe
vsmon.exe
Обладает функционалом кейлоггера – следит за буфером обмена (функции OpenClipboard, GetClipboardData, CloseClipboard), опрашивает клавиатуру (GetKeyboardState), определяет окно с котором работает пользователь (GetForegroundWindow, GetFocus), переводит код клавиатуры в ASCII (ToAscii) и ведет логирование (SendMessageA, сохраняя в файле %systemroot%\system32\lps.dat и %systemroot%\system32\kgctini.dat.
Информация по восстановлению системы
Что такое Haxdoor
Скачать утилиту для удаления Haxdoor
Удалить Haxdoor вручную
Получить проффесиональную тех поддержку
Читать комментарии
Описание угрозы
Имя исполняемого файла:
Haxdoor
msdmxm.exe
Spyware/trojan
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Haxdoor копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла msdmxm.exe. Потом он создаёт ключ автозагрузки в реестре с именем Haxdoor и значением msdmxm.exe. Вы также можете найти его в списке процессов с именем msdmxm.exe или Haxdoor.
Если у вас есть дополнительные вопросы касательно Haxdoor, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите Haxdoor and msdmxm.exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Haxdoor в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Удаляет все файлы, созданные Haxdoor.
Удаляет все записи реестра, созданные Haxdoor.
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления Haxdoor от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Haxdoor.. Утилита для удаления Haxdoor найдет и полностью удалит Haxdoor и все проблемы связанные с вирусом Haxdoor. Быстрая, легкая в использовании утилита для удаления Haxdoor защитит ваш компьютер от угрозы Haxdoor которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Haxdoor сканирует ваши жесткие диски и реестр и удаляет любое проявление Haxdoor. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Haxdoor. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Haxdoor и msdmxm.exe (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные Haxdoor.
Удаляет все записи реестра, созданные Haxdoor.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Оставьте подробное описание вашей проблемы с Haxdoor в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Haxdoor. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Haxdoor.
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Haxdoor, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Haxdoor.
Чтобы избавиться от Haxdoor, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
- ms2.exe
- mszx23.exe
- 0mcamcap.exe
- jsssvc.exe
- 1.a3d
- avpx32.dll
- avpx32.sys
- avpx64.sys
- BOOT32.SYS
- C3.DLL
- C3.SYS
- C4.SYS
- cz.dll
- DEBUGG.DLL
- draw32.dll
- drct16.dll
- dt163.dt
- fltr.a3d
- hiden.exe
- hm.sys
- hz.dll
- hz.sys
- i.a3d
- in.a3d
- JSDAPI.EXE
- klo5.sys
- Klog.sys
- klogini.dll
- memlow.sys
- mszx.exe
- p2.ini
- p3.ini
- ps.a3d
- qy.sys
- qz.dll
- qz.sys
- redir.a3d
- Sdmapi.sys
- SMTAPI.SYS
- snim.dll
- tmpf00.exe
- tnfl.a3d
- vdmt16.sys
- vdnt32.sys
- vdt_16.exe
- vm.dll
- w32_ss.exe
- wd.sys
- winlow.sys
- wmx.a3d
- wz.dll
- wz.sys
- 1040.exe
- Ddxzdkpd.dll
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Haxdoor для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
- Key: CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW
- Key: CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16
- Key: CurrentControlSet\Services\memlow
- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\Notify\draw32
- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\Notify\drct16
- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32
- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg
- Key: SOFTWARE\Microsoft\Windows\curretnversion\explorer\browser helper objects
\- Key: SYSTEM\ControlSet001\Services\memlow
- Key: SYSTEM\ControlSet001\Services\vdmt16
- Key: SYSTEM\ControlSet001\Services\vdnt32
- Key: SYSTEM\ControlSet001\Services\winlow
- Key:
SYSTEM\CurrentControlSet\Control\MPRServices\TestService\MPRServices\TestServices- Key: SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpx32.sys
- Key: SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpx64.sys
- Key: SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpx32.sys
- Key: SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpx64.sys
- Key: SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW
- Key: SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDNT32
- Key: SYSTEM\CurrentControlSet\Services\avpx32
- Key: SYSTEM\CurrentControlSet\Services\avpx64
- Key: SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW
- Key: SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16
- Key: SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32
- Key: SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW
- Key: SYSTEM\CurrentControlSet\Services\memlow
- Key: SYSTEM\CurrentControlSet\Services\vdmt16
- Key: SYSTEM\CurrentControlSet\Services\vdnt32
- Key: SYSTEM\CurrentControlSet\Services\winlow
- Key: SYSTEM\CurrentControlSet\Control
Value: Impersonate- Key: SYSTEM\CurrentControlSet\Control
Value: StackSize- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winm32
Value: DllName- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\plgwiz32
Value: DllName- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\plgwiz32
Value: Startup- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\plgwiz32
Value: Impersonate- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\plgwiz32
Value: Asynchronous- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winm32
Value: secureUID- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winm32
Value: DllName- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: CID- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: DllName- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Startup- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Impersonate- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Asynchronous- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: MaxWait- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: CID- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: DllName- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Startup- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Impersonate- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Asynchronous- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: MaxWait- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: secureUID- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: DllName- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Startup- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Impersonate- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Asynchronous- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: MaxWait- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: secureUID- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: DllName- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Startup- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Impersonate- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Asynchronous- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: MaxWait- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nclabydll
Value: DllName- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nclabydll
Value: Startup- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nclabydll
Value: DllName- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: CID- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: DllName- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Startup- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Impersonate- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Asynchronous- Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: MaxWait- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: CID- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: DllName- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Startup- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Impersonate- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Asynchronous- Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: MaxWait
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Haxdoor для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
Haxdoor иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Haxdoor. Для сброса настроек браузеров вручную используйте данную инструкцию:
Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: "inetcpl.cpl".
Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: "inetcpl.cpl".
Выберите вкладку Дополнительно
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Google Chrome
Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data.
В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
Запустите Google Chrome и будет создан новый файл Default.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Mozilla Firefox
В меню выберите Помощь > Информация для решения проблем.
Кликните кнопку Сбросить Firefox.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
1. Инсталляция в систему.
Троянская программа была обнаружена в одной из файлообменных сетей г.Черновцы 3 июня 2004 года, под видом пакета с "обновлением" антивирусной базы к программе Kaspersky AntiVirus Personal Pro 5.0.13. Файл назывался kav5.0.13_Upd.exe , однако не исключается, что название может быть изменено злоумышленниками. Размер файла - 33264 байта (сжат утилитой "FSG" версии 1.33). Представляет собой установочный пакет троянской программы Backdoor.PolyHack.33264 .
Бэкдор содержит в себе множество компонентов и дееспособен под ОС Windows, начиная от версий 9X и заканчивая XP.
При запуске вышеуказанного файла бэкдор инсталлирует свои компоненты в следующие системные подкаталоги:
для Windows 9X/ME:
WINDOWS\SYSTEM\ w32_ss.exe (копия-"близнец" установочного пакетного файла бэкдора);
WINDOWS\SYSTEM\ debugg.dll (бэкдор-программа, сжатая утилитой "UPX"; имеет размер 58032 байта, а в декомпрессированном виде - 85168 байт);
WINDOWS\SYSTEM\ c3.dll (копия-"близнец" файла debugg.dll ).
для Windows 2K/2K Server/XP:
WINDOWS\SYSTEM32\ w32_ss.exe (копия-"близнец" установочного пакетного файла бэкдора);
WINDOWS\SYSTEM32\ debugg.dll (бэкдор-программа, сжатая утилитой "UPX"; имеет размер 25088 байт, а в декомпрессированном виде - 52224 байта);
WINDOWS\SYSTEM32\ c3.dll (копия-"близнец" файла debugg.dll );
WINDOWS\SYSTEM32\ sdmapi.sys (вспомагательный файл, выполненный в формате исполняемого файла DOS 32, размером 14832 байта );
WINDOWS\SYSTEM32\ c3.sys (копия-"близнец" файла sdmapi.sys );
WINDOWS\SYSTEM32\ boot32.sys (вспомагательный файл, выполненный в формате исполняемого файла DOS 32, размером 4096 байт );
WINDOWS\SYSTEM32\ c4.sys (копия-"близнец" файла boot32.sys ).
В качестве даты и времени модификации всем компонентам бэкдора (за исключением файла w32_ss.exe ) присваиваются текущие дата и время (под Windows 9X/ME) или случайные соответствующие параметры, взятые от соседствующих с компонентами бэкдора системных файлов (под Windows 2K/2K Server/XP). При некоторых неопределенных условиях под Windows 2K/2K Server/XP копия установочного пакетного файла w32_ss.exe может не создаваться троянцем.
Основным компонентом бэкдора является файл debugg.dll . Этот файл регистрируется в системе как "Менеджер Памяти" (Memory Manager - внутренний процесс ядра ОС Windows: компонент системного процесса EXPLORER.EXE или WINLOGON.EXE для Windows 9X/ME или 2K/2K Server/XP соответсвенно) и одновременно как "Сетевой сервис" (Network Interface Service Process). В результате этого, процесс debugg.dll не фигурирует ни в одном из системных списков активных системных процессов. Более того, под Windows 9X/ME троянец зачастую применяет специальную процедуру, при помощи которой файл debugg.dll защищен от некоторых системных вызовов и не виден на жестком диске (как буд-то его вообще там нет).
Для возможности скрытого запуска при каждом старте системы троянец создает в системном реестре такие ключи:
под Windows 9X/ME:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\TestService]
"DllName"="debugg.dll"
"EntryPoint"="MemManager"
"StackSize"=dword:00000000
под Windows 2K/2K Server/XP:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg]
"DllName"=hex(2):64,65,62,75,67,67,2e,64,6c,6c,00
"Startup"="MemManager"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001
Как видно, под Windows 2K/2K Server/XP название файла debugg.dll в строке "DLLName" ключа записано в HEX-кодировке для усложнения его (ключа) обнаружения.
Немаловажен и тот факт, что при заражении одной из машин, связанных между собой локальной (офисной) сетью, троянец может инсталлировать себя и на остальные машины, если на последних системный каталог открыт на полный доступ.
2. Процедура "PSW-trojan" (парольный шпион).
В том же каталоге, куда были установлены компоненты троянца, последний создает лог-файл под названием klogini.dll , в который сохраняет в зашифрованном виде выуженные из соответствующих системных файлов пользовательские данные: логин и пароль, информацию по учетным записям Вашего подключения к Интернет-провайдеру, входной пароль в Windows (если есть), сетевые пароли (если есть), используемые для подключений к др. компьютерам при наличии локальной (офисной) сети. Судя по всему, данная процедура работает только под Windows 9X/ME. Также троянцем создается лог-файл page2.ini , в который сохраняется информация о версии установленной на зараженной машине Windows-системе и какие-то служебные данные. В дальнейшем оба указанных отчетных файла могут быть отосланы хакерам.
3. Процедура "keylogger" (клавиатурный шпион).
Троянец также создает в каталоге со своими компонентами лог-файл под названием klog.sys , куда записывает значения нажатых клавиш (только при получении соответствующей команды через Интернет-сеть). При осуществлении данной процедуры троянец распознает набор текста с клавиатуры, производимый в окнах Win32-приложений, а также различных текстовых Win32-редакторов. Кроме того, в этот же отчетный файл под Windows 9X/ME записываются имена и местоположения всех пользовательских и системных приложений, которые запускались во время работы системы, а также их время запуска. В дальнейшем данный отчетный файл также может быть отослан хакерам.
4. Процедура "backdoor" (удаленное администрирование).
При подключении к сети Интернет троянец открывает на зараженной машине 16661-й порт TCP/IP протокола, ожидая команд от своих авторов. При этом под Windows 2K/2K Server/XP троянец использует некоторые специальные функции вспомагательного компонента sdmapi.sys ( c3.sys ) с целью обхода FireWall'ов (программ Интернет-защиты) ZoneAlarm и Symantec.
Зараженная машина подвергается принудительному скрытному администрированию со стороны хакерской машины, расположенной по IP-адресу 66.246.38.4 . В ходе такого "администрирования" бэкдор создает в соответсвующих системных каталогах временные файлы incoming.a3d (записывает в него команды, полученные от злоумышленников) и error.a3d (записывает в него ошибки, которые имели место в процессе подключения к хакерской машине). При этом, основными командами, которые способен выполнять бэкдор, являются следующие:
- отсылка лог-файлов klogini.dll , page2.ini и klog.sys на адреса электронной почты хакеров, которые троянец считывает из хвостового блока компонента debugg.dll ( c3.dll ). Список адресов закриптован и расшифровывается троянцем только при получении соответсвующей команды на отсылку логов. Затем генерируется почтовое послание с темой "Re", после чего осуществляется процесс отсылки приложенных лог-файлов примерно на 20 адресов со всеми вытекающими отсюда негативными последствиями. При осуществлении данной процедуры троянец использует собственный SMTP-сервер (логический почтовый сервер отправляемых сообщений).
- создание лога со списком всех имеющихся на диске файлов.
- создание/удаление файлов/каталогов на диске.
- загрузка, установка и запуск на выполнение любых файлов через сеть Интернет.
- передача файла w32_ss.exe под произвольным именем на машины, связанные с зараженной файлообменной сеткой.
- установка прав удаленного Администратора зараженной машины (ограничение прав пользователя).
5. Процедура "trojan-downloader" (загрузка файлов через сеть Интернет).
Для возможности передачи/принятия с/на хакерскую машину файлов, троянец создает на зараженной машине что-то вроде файлообменной сети, негласно функционирующей между хакерской и зараженной машинами. Это дает возможность злоумышленнику загружать при помощи троянца на контролируемую им машину, а затем и запускать на выполнение различные вредоносные программы, а также при желании получать с нее копии программных файлов или документов со всеми вытекающими отсюда негативными последствиями. Данный процесс выглядит следующим образом: по команде злоумышленника троянец создает на системном диске инфицированной машины временный каталог (имя каталога может быть различным, т.к. указывается непосредственно злоумышленником), который открывает на полный доступ. Далее троянец производит процесс загрузки файлов, передаваемых либо прямо с удаленной машины, либо при помощи соответсвующей команды вызова скрытной процедуры загрузки этих файлов с каких-либо загрузочных серверов, указываемых злоумышленником. После принятия файлов троянец запускает их на выполнение.
Среди прочих программ троянец может загружать и инсталлировать на машину-жертву какие-то свои дополнительные компоненты под названиями inetmib1.dll и pdx.dll (назначение данных файлов мне неизвестно по причине их отсутствия), а также обновленные версии своих компонентов.
По окончании процесса загрузки файлов, при соответствующей команде злоумышленника троянец удаляет созданный им временный каталог со всем содержимым, представляющим уже лишь файловый мусор.
Прочее.
В коде всех компонентов троянца и некоторых из отчетных файлов присутствует следующая строка-"копирайт" (возможно, идентификатор присутствия в зараженной системе):
)8**.+= l8 † x xx IIII
Во время осуществления своих процедур бэкдор может проигрывать какие-то sound-трэки.
6. Детектирование троянской программы.
С января 2005 года номенклатурные названия компонентов и инсталлятора данного троянца некоторыми из антивирусных компаний были заменены на следующие:
Антивирус Kaspersky AntiVirus : Backdoor.Win32.Haxdoor.l (компоненты sdmapi.sys и c3.sys детектируются как Backdoor.Win32.Haxdoor.as )
Антивирус BitDefender Professional : Backdoor.Haxdoor.C
Антивирус DrWeb : BackDoor.Death.120
При обнаружении в машине данной троянской программы, после удаления всех ее компонентов рекомендуется сменить все пароли, используемые в системе (в частности, пароль для подключения к сети Интернет), а также номера банковских счетов, если соответствующая информация хранилась в компьютере в период его заражения.
Читайте также: