Что за вирус haxdoor

Добавлен в вирусную базу Dr.Web: 2006-03-29

Описание добавлено: 2006-03-29

Уязвимые ОС: Win NT-based

Размер: 55,066 байт

Упакован: FSG, UPX

%systemroot%\system32\yvpp01.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvpp01
DllName = yvpp01.dll

Помимо этого, создает следующие файлы:

%systemroot%\system32\qo.dll, является копией %systemroot%\system32\yvpp01
%systemroot%\system32\yvpp02.sys
%systemroot%\system32\qo.sys, является копией %systemroot%\system32\yvpp02.sys
%systemroot%\system32\yvpp01.sys, является копией %systemroot%\system32\yvpp02.sys
%systemroot%\system32\kgctini.dat
%systemroot%\system32\lps.dat

Регистрирует устанавливаемый драйвер в реестре и загружает его посредством системного Service Control Manager.

Внедряет свою библиотеку в Explorer.exe по механизму удаленных потоков.

Обеспечивает загрузчку своего драйвера в Безопасном режиме, модифицируя следующие ветви системного реестра:

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yvpp02.sys
HKEY_LOCAL_MACHINE \MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\yvpp02.sys

Cтатически отключает защиту памяти ядра от модификации перед изменением адреса перехватываемых функций в KiST:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management
EnforceWriteProtection = 0x00000000 (0)

Осуществляет маскировку системного процесса Explorer.exe.

Прослушивает два выбранных случайным образом TCP-порта и TCP-порт 16661.

После перезагрузки Windows BackDoor.Haxdoor.232 маскирует системный процесс Winlogon.exe, который создает удаленные потоки в процессе Explorer.exe.

Драйвер %systemroot%\system32\yvpp02.sys перехватывает следующие функции путем подмены адресов функций в KiST:

NtCreateProcess
NtCreateProcessEx
NtOpenThread
NtQueryDirectoryFile
NtQuerySystemInformation

Перехват производится с целью маскировки своих файлов на диске, маскировки заданных процессов, так же для слежения за созданием процессов и потоков.

В User Mode идет установка перехватов путем модификации машинного кода функций системных библиотек из ядра. Перехватывается функция LdrLoadDll библиотеки ntdll.dll и InternetConnectA wininet.dll. При создании процесса, драйвер внедряет в него код руткита и ставит перехватчик на функцию LdrLoadDll. Таким образом отслеживаются загружаемые библиотекик. При попытке прилож загрузить библиотеку wininet.dll, производится перехват функции InternetConnectA. Что позволяет шпионить за посещаемыми страницами пользователем.

BackDoor.Haxdoor.232 осуществляет мониторинг ключа автозагрузки (Notify) и пересоздание его в случае удаления/модификации.

Циклически перепроверяет адреса перехваченных функций, и, в случае не совпадения производит снова перехват.

%systemroot%\system32\yvpp01.dll имеет функционал шпиона – осуществляет поиск в реестре ключей, принадлежащих программам ICQ, Miranda, определяет присутствие WM Keeper и ищет пароли, используемые этими программами. Блокирует доступ к сайтам производителей антивирусных средств защиты и серверам обновлений антивирусных продуктов. Анализирует файл историю посещений пользователя сайтов Ebay, E-gold, Paypal (браузером IE). Проверяет список процессов и завершает следующие процессы:

zapro.exe
vsmon.exe
jamapp.exe
atrack.exe
iamapp.exe
FwAct.exe
mpfagent.exe
outpost.exe
zlclient.exe
mpftray.exe
vsmon.exe

Обладает функционалом кейлоггера – следит за буфером обмена (функции OpenClipboard, GetClipboardData, CloseClipboard), опрашивает клавиатуру (GetKeyboardState), определяет окно с котором работает пользователь (GetForegroundWindow, GetFocus), переводит код клавиатуры в ASCII (ToAscii) и ведет логирование (SendMessageA, сохраняя в файле %systemroot%\system32\lps.dat и %systemroot%\system32\kgctini.dat.

Информация по восстановлению системы

Что такое Haxdoor

Скачать утилиту для удаления Haxdoor

Удалить Haxdoor вручную

Получить проффесиональную тех поддержку

Читать комментарии

Описание угрозы

Имя исполняемого файла:

Haxdoor

msdmxm.exe

Spyware/trojan

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Haxdoor копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла msdmxm.exe. Потом он создаёт ключ автозагрузки в реестре с именем Haxdoor и значением msdmxm.exe. Вы также можете найти его в списке процессов с именем msdmxm.exe или Haxdoor.

Если у вас есть дополнительные вопросы касательно Haxdoor, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите Haxdoor and msdmxm.exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Haxdoor в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Удаляет все файлы, созданные Haxdoor.

Удаляет все записи реестра, созданные Haxdoor.

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно - если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления Haxdoor от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Haxdoor.. Утилита для удаления Haxdoor найдет и полностью удалит Haxdoor и все проблемы связанные с вирусом Haxdoor. Быстрая, легкая в использовании утилита для удаления Haxdoor защитит ваш компьютер от угрозы Haxdoor которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Haxdoor сканирует ваши жесткие диски и реестр и удаляет любое проявление Haxdoor. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Haxdoor. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Haxdoor и msdmxm.exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Haxdoor.

Удаляет все записи реестра, созданные Haxdoor.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно - если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Оставьте подробное описание вашей проблемы с Haxdoor в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Haxdoor. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Haxdoor.

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Haxdoor, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Haxdoor.

Чтобы избавиться от Haxdoor, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

ms2.exe

mszx23.exe

0mcamcap.exe

jsssvc.exe

1.a3d

avpx32.dll

avpx32.sys

avpx64.sys

BOOT32.SYS

C3.DLL

C3.SYS

C4.SYS

cz.dll

DEBUGG.DLL

draw32.dll

drct16.dll

dt163.dt

fltr.a3d

hiden.exe

hm.sys

hz.dll

hz.sys

i.a3d

in.a3d

JSDAPI.EXE

klo5.sys

Klog.sys

klogini.dll

memlow.sys

mszx.exe

p2.ini

p3.ini

ps.a3d

qy.sys

qz.dll

qz.sys

redir.a3d

Sdmapi.sys

SMTAPI.SYS

snim.dll

tmpf00.exe

tnfl.a3d

vdmt16.sys

vdnt32.sys

vdt_16.exe

vm.dll

w32_ss.exe

wd.sys

winlow.sys

wmx.a3d

wz.dll

wz.sys

1040.exe

Ddxzdkpd.dll

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Haxdoor для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Key: CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW

Key: CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16

Key: CurrentControlSet\Services\memlow

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\Notify\draw32

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin\Notify\drct16

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg

Key: SOFTWARE\Microsoft\Windows\curretnversion\explorer\browser helper objects
\

Key: SYSTEM\ControlSet001\Services\memlow

Key: SYSTEM\ControlSet001\Services\vdmt16

Key: SYSTEM\ControlSet001\Services\vdnt32

Key: SYSTEM\ControlSet001\Services\winlow

Key:
SYSTEM\CurrentControlSet\Control\MPRServices\TestService\MPRServices\TestServices

Key: SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpx32.sys

Key: SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpx64.sys

Key: SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpx32.sys

Key: SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpx64.sys

Key: SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW

Key: SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDNT32

Key: SYSTEM\CurrentControlSet\Services\avpx32

Key: SYSTEM\CurrentControlSet\Services\avpx64

Key: SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW

Key: SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16

Key: SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32

Key: SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW

Key: SYSTEM\CurrentControlSet\Services\memlow

Key: SYSTEM\CurrentControlSet\Services\vdmt16

Key: SYSTEM\CurrentControlSet\Services\vdnt32

Key: SYSTEM\CurrentControlSet\Services\winlow

Key: SYSTEM\CurrentControlSet\Control
Value: Impersonate

Key: SYSTEM\CurrentControlSet\Control
Value: StackSize

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winm32
Value: DllName

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\plgwiz32
Value: DllName

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\plgwiz32
Value: Startup

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\plgwiz32
Value: Impersonate

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\plgwiz32
Value: Asynchronous

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winm32
Value: secureUID

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winm32
Value: DllName

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: CID

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: DllName

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Startup

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Impersonate

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Asynchronous

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: MaxWait

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: CID

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: DllName

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Startup

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Impersonate

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: Asynchronous

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvsvga
Value: MaxWait

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: secureUID

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: DllName

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Startup

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Impersonate

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Asynchronous

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: MaxWait

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: secureUID

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: DllName

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Startup

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Impersonate

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: Asynchronous

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pptp16
Value: MaxWait

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nclabydll
Value: DllName

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nclabydll
Value: Startup

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nclabydll
Value: DllName

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: CID

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: DllName

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Startup

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Impersonate

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Asynchronous

Key: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: MaxWait

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: CID

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: DllName

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Startup

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Impersonate

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: Asynchronous

Key: Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Value: MaxWait

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Haxdoor для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

Haxdoor иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Haxdoor. Для сброса настроек браузеров вручную используйте данную инструкцию:

Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: "inetcpl.cpl".

Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: "inetcpl.cpl".

Выберите вкладку Дополнительно

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:\Users\"имя пользователя"\AppData\Local\Google\Chrome\Application\User Data.

В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

Запустите Google Chrome и будет создан новый файл Default.

Настройки Google Chrome сброшены

Для Mozilla Firefox

В меню выберите Помощь > Информация для решения проблем.

Кликните кнопку Сбросить Firefox.

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

1. Инсталляция в систему.
Троянская программа была обнаружена в одной из файлообменных сетей г.Черновцы 3 июня 2004 года, под видом пакета с "обновлением" антивирусной базы к программе Kaspersky AntiVirus Personal Pro 5.0.13. Файл назывался kav5.0.13_Upd.exe , однако не исключается, что название может быть изменено злоумышленниками. Размер файла - 33264 байта (сжат утилитой "FSG" версии 1.33). Представляет собой установочный пакет троянской программы Backdoor.PolyHack.33264 .
Бэкдор содержит в себе множество компонентов и дееспособен под ОС Windows, начиная от версий 9X и заканчивая XP.
При запуске вышеуказанного файла бэкдор инсталлирует свои компоненты в следующие системные подкаталоги:

для Windows 9X/ME:

WINDOWS\SYSTEM\ w32_ss.exe (копия-"близнец" установочного пакетного файла бэкдора);
WINDOWS\SYSTEM\ debugg.dll (бэкдор-программа, сжатая утилитой "UPX"; имеет размер 58032 байта, а в декомпрессированном виде - 85168 байт);
WINDOWS\SYSTEM\ c3.dll (копия-"близнец" файла debugg.dll ).

для Windows 2K/2K Server/XP:

WINDOWS\SYSTEM32\ w32_ss.exe (копия-"близнец" установочного пакетного файла бэкдора);
WINDOWS\SYSTEM32\ debugg.dll (бэкдор-программа, сжатая утилитой "UPX"; имеет размер 25088 байт, а в декомпрессированном виде - 52224 байта);
WINDOWS\SYSTEM32\ c3.dll (копия-"близнец" файла debugg.dll );
WINDOWS\SYSTEM32\ sdmapi.sys (вспомагательный файл, выполненный в формате исполняемого файла DOS 32, размером 14832 байта );
WINDOWS\SYSTEM32\ c3.sys (копия-"близнец" файла sdmapi.sys );
WINDOWS\SYSTEM32\ boot32.sys (вспомагательный файл, выполненный в формате исполняемого файла DOS 32, размером 4096 байт );
WINDOWS\SYSTEM32\ c4.sys (копия-"близнец" файла boot32.sys ).

В качестве даты и времени модификации всем компонентам бэкдора (за исключением файла w32_ss.exe ) присваиваются текущие дата и время (под Windows 9X/ME) или случайные соответствующие параметры, взятые от соседствующих с компонентами бэкдора системных файлов (под Windows 2K/2K Server/XP). При некоторых неопределенных условиях под Windows 2K/2K Server/XP копия установочного пакетного файла w32_ss.exe может не создаваться троянцем.
Основным компонентом бэкдора является файл debugg.dll . Этот файл регистрируется в системе как "Менеджер Памяти" (Memory Manager - внутренний процесс ядра ОС Windows: компонент системного процесса EXPLORER.EXE или WINLOGON.EXE для Windows 9X/ME или 2K/2K Server/XP соответсвенно) и одновременно как "Сетевой сервис" (Network Interface Service Process). В результате этого, процесс debugg.dll не фигурирует ни в одном из системных списков активных системных процессов. Более того, под Windows 9X/ME троянец зачастую применяет специальную процедуру, при помощи которой файл debugg.dll защищен от некоторых системных вызовов и не виден на жестком диске (как буд-то его вообще там нет).
Для возможности скрытого запуска при каждом старте системы троянец создает в системном реестре такие ключи:

под Windows 9X/ME:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\TestService]
"DllName"="debugg.dll"
"EntryPoint"="MemManager"
"StackSize"=dword:00000000

под Windows 2K/2K Server/XP:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg]
"DllName"=hex(2):64,65,62,75,67,67,2e,64,6c,6c,00
"Startup"="MemManager"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001

Как видно, под Windows 2K/2K Server/XP название файла debugg.dll в строке "DLLName" ключа записано в HEX-кодировке для усложнения его (ключа) обнаружения.
Немаловажен и тот факт, что при заражении одной из машин, связанных между собой локальной (офисной) сетью, троянец может инсталлировать себя и на остальные машины, если на последних системный каталог открыт на полный доступ.

2. Процедура "PSW-trojan" (парольный шпион).
В том же каталоге, куда были установлены компоненты троянца, последний создает лог-файл под названием klogini.dll , в который сохраняет в зашифрованном виде выуженные из соответствующих системных файлов пользовательские данные: логин и пароль, информацию по учетным записям Вашего подключения к Интернет-провайдеру, входной пароль в Windows (если есть), сетевые пароли (если есть), используемые для подключений к др. компьютерам при наличии локальной (офисной) сети. Судя по всему, данная процедура работает только под Windows 9X/ME. Также троянцем создается лог-файл page2.ini , в который сохраняется информация о версии установленной на зараженной машине Windows-системе и какие-то служебные данные. В дальнейшем оба указанных отчетных файла могут быть отосланы хакерам.

3. Процедура "keylogger" (клавиатурный шпион).
Троянец также создает в каталоге со своими компонентами лог-файл под названием klog.sys , куда записывает значения нажатых клавиш (только при получении соответствующей команды через Интернет-сеть). При осуществлении данной процедуры троянец распознает набор текста с клавиатуры, производимый в окнах Win32-приложений, а также различных текстовых Win32-редакторов. Кроме того, в этот же отчетный файл под Windows 9X/ME записываются имена и местоположения всех пользовательских и системных приложений, которые запускались во время работы системы, а также их время запуска. В дальнейшем данный отчетный файл также может быть отослан хакерам.

4. Процедура "backdoor" (удаленное администрирование).
При подключении к сети Интернет троянец открывает на зараженной машине 16661-й порт TCP/IP протокола, ожидая команд от своих авторов. При этом под Windows 2K/2K Server/XP троянец использует некоторые специальные функции вспомагательного компонента sdmapi.sys ( c3.sys ) с целью обхода FireWall'ов (программ Интернет-защиты) ZoneAlarm и Symantec.
Зараженная машина подвергается принудительному скрытному администрированию со стороны хакерской машины, расположенной по IP-адресу 66.246.38.4 . В ходе такого "администрирования" бэкдор создает в соответсвующих системных каталогах временные файлы incoming.a3d (записывает в него команды, полученные от злоумышленников) и error.a3d (записывает в него ошибки, которые имели место в процессе подключения к хакерской машине). При этом, основными командами, которые способен выполнять бэкдор, являются следующие:

- отсылка лог-файлов klogini.dll , page2.ini и klog.sys на адреса электронной почты хакеров, которые троянец считывает из хвостового блока компонента debugg.dll ( c3.dll ). Список адресов закриптован и расшифровывается троянцем только при получении соответсвующей команды на отсылку логов. Затем генерируется почтовое послание с темой "Re", после чего осуществляется процесс отсылки приложенных лог-файлов примерно на 20 адресов со всеми вытекающими отсюда негативными последствиями. При осуществлении данной процедуры троянец использует собственный SMTP-сервер (логический почтовый сервер отправляемых сообщений).

- создание лога со списком всех имеющихся на диске файлов.

- создание/удаление файлов/каталогов на диске.

- загрузка, установка и запуск на выполнение любых файлов через сеть Интернет.

- передача файла w32_ss.exe под произвольным именем на машины, связанные с зараженной файлообменной сеткой.

- установка прав удаленного Администратора зараженной машины (ограничение прав пользователя).

5. Процедура "trojan-downloader" (загрузка файлов через сеть Интернет).
Для возможности передачи/принятия с/на хакерскую машину файлов, троянец создает на зараженной машине что-то вроде файлообменной сети, негласно функционирующей между хакерской и зараженной машинами. Это дает возможность злоумышленнику загружать при помощи троянца на контролируемую им машину, а затем и запускать на выполнение различные вредоносные программы, а также при желании получать с нее копии программных файлов или документов со всеми вытекающими отсюда негативными последствиями. Данный процесс выглядит следующим образом: по команде злоумышленника троянец создает на системном диске инфицированной машины временный каталог (имя каталога может быть различным, т.к. указывается непосредственно злоумышленником), который открывает на полный доступ. Далее троянец производит процесс загрузки файлов, передаваемых либо прямо с удаленной машины, либо при помощи соответсвующей команды вызова скрытной процедуры загрузки этих файлов с каких-либо загрузочных серверов, указываемых злоумышленником. После принятия файлов троянец запускает их на выполнение.
Среди прочих программ троянец может загружать и инсталлировать на машину-жертву какие-то свои дополнительные компоненты под названиями inetmib1.dll и pdx.dll (назначение данных файлов мне неизвестно по причине их отсутствия), а также обновленные версии своих компонентов.
По окончании процесса загрузки файлов, при соответствующей команде злоумышленника троянец удаляет созданный им временный каталог со всем содержимым, представляющим уже лишь файловый мусор.

Прочее.
В коде всех компонентов троянца и некоторых из отчетных файлов присутствует следующая строка-"копирайт" (возможно, идентификатор присутствия в зараженной системе):

)8**.+= l8 † x xx IIII

Во время осуществления своих процедур бэкдор может проигрывать какие-то sound-трэки.

6. Детектирование троянской программы.
С января 2005 года номенклатурные названия компонентов и инсталлятора данного троянца некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus : Backdoor.Win32.Haxdoor.l (компоненты sdmapi.sys и c3.sys детектируются как Backdoor.Win32.Haxdoor.as )

Антивирус BitDefender Professional : Backdoor.Haxdoor.C

Антивирус DrWeb : BackDoor.Death.120

При обнаружении в машине данной троянской программы, после удаления всех ее компонентов рекомендуется сменить все пароли, используемые в системе (в частности, пароль для подключения к сети Интернет), а также номера банковских счетов, если соответствующая информация хранилась в компьютере в период его заражения.

Читайте также: