На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Backdoor

Backdoor.Win32.HacDef.fw


Rootkit:  Да
Видимые проявления:  Перехват множества функций в UserMode, маскировка процессов

Исполняемый файл имеет размер 78896 байт, сжат PE Patch. В случае запуска скрытно выполняет следующие операции:
1. Создает в папке WINDOWS\system32\ файлы mlsdf8hwhtdnxhrb.exe и cjnr4r4mucludlven.exe
2. Запускает созданные файлы его и завершает работу.
Файл mlsdf8hwhtdnxhrb.exe в свою очередь скрытоно выполняет следующие операции:
3. регистрирует службу Time, исполняемый файл службы mlsdf8hwhtdnxhrb.exe
4. Регистрирует службу Time в ключах реестра \SafeBoot\Minimal и SafeBoot\Network для обеспечения запуска службы в защищенном режиме
Файл cjnr4r4mucludlven.exe скрытно выполняет следующие операции:
1. Регистрирует службу SpoolSvc213, исполняемый файл cjnr4r4mucludlven.exe, причем его вызов идет с ключом «/service»
2. Запускает службу SpoolSvc213 при помощи выполнения команды «net start SpoolSvc213»

Данный зловред является клоном известного руткита Hacker Defender, и применяет для маскировки перехват множества функций в UserMode, чем собственно и выдает свое присутствие:


>> Опасно ! Обнаружена маскировка процессов
 >>>> Обнаружена маскировка процесса 180 mlsdf8hwhtdnxhrb.exe
 >>>> Обнаружена маскировка процесса 232 cjnr4r4mucludlven.exe
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:ReadFile (676) перехвачена, метод APICodeHijack.JmpTo[7FFA7C32]
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[7FFA8377]
Функция ntdll.dll:NtCreateFile (123) перехвачена, метод APICodeHijack.JmpTo[7FFA8B2C]
Функция ntdll.dll:NtDeviceIoControlFile (154) перехвачена, метод APICodeHijack.JmpTo[7FFA87A2]
Функция ntdll.dll:NtEnumerateKey (159) перехвачена, метод APICodeHijack.JmpTo[7FFA7FFF]
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[7FFA8104]
Функция ntdll.dll:NtOpenFile (204) перехвачена, метод APICodeHijack.JmpTo[7FFA8BB5]
Функция ntdll.dll:NtOpenProcess (211) перехвачена, метод APICodeHijack.JmpTo[7FFA8AC1]
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[7FFA7EBA]
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo[7FFA7D1C]
Функция ntdll.dll:NtQueryVolumeInformationFile (269) перехвачена, метод APICodeHijack.JmpTo[7FFA86D2]
Функция ntdll.dll:NtReadVirtualMemory (276) перехвачена, метод APICodeHijack.JmpTo[7FFA8177]
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[7FFA7F98]
Функция ntdll.dll:NtVdmControl (359) перехвачена, метод APICodeHijack.JmpTo[7FFA7F29]
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo[7FFA7D1C]
Функция ntdll.dll:RtlRunEncodeUnicodeString (777) перехвачена, метод APICodeHijack.JmpTo[7FFA8BF0]
Функция ntdll.dll:ZwCreateFile (933) перехвачена, метод APICodeHijack.JmpTo[7FFA8B2C]
Функция ntdll.dll:ZwDeviceIoControlFile (963) перехвачена, метод APICodeHijack.JmpTo[7FFA87A2]
Функция ntdll.dll:ZwEnumerateKey (968) перехвачена, метод APICodeHijack.JmpTo[7FFA7FFF]
Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод APICodeHijack.JmpTo[7FFA8104]
Функция ntdll.dll:ZwOpenFile (1013) перехвачена, метод APICodeHijack.JmpTo[7FFA8BB5]
Функция ntdll.dll:ZwOpenProcess (1020) перехвачена, метод APICodeHijack.JmpTo[7FFA8AC1]
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.JmpTo[7FFA7EBA]
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo[7FFA7D1C]
Функция ntdll.dll:ZwQueryVolumeInformationFile (1078) перехвачена, метод APICodeHijack.JmpTo[7FFA86D2]
Функция ntdll.dll:ZwReadVirtualMemory (1085) перехвачена, метод APICodeHijack.JmpTo[7FFA8177]
Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[7FFA7F98]
Функция ntdll.dll:ZwVdmControl (1168) перехвачена, метод APICodeHijack.JmpTo[7FFA7F29]
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:EnumServiceGroupW (210) перехвачена, метод APICodeHijack.JmpTo[7FFA84EC]
Функция advapi32.dll:EnumServicesStatusA (211) перехвачена, метод APICodeHijack.JmpTo[7FFA8555]
Функция advapi32.dll:EnumServicesStatusExA (212) перехвачена, метод APICodeHijack.JmpTo[7FFA8627]
Функция advapi32.dll:EnumServicesStatusExW (213) перехвачена, метод APICodeHijack.JmpTo[7FFA85BB]
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSARecv (71) перехвачена, метод APICodeHijack.JmpTo[7FFA8419]
Функция ws2_32.dll:recv (16) перехвачена, метод APICodeHijack.JmpTo[7FFA83B9]

 
 
    
Перехваты успешно снимаются антируткитом AVZ, после снятия перехватов процессы маскировка процессов и файлов на диске нейтрализуется и их можно без проблем удалить.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.