12.01.2007
Backdoor.Win32.HacDef.fw
Исполняемый файл имеет размер 78896 байт, сжат PE Patch. В случае запуска скрытно выполняет следующие операции:
1. Создает в папке WINDOWS\system32\ файлы mlsdf8hwhtdnxhrb.exe и cjnr4r4mucludlven.exe
2. Запускает созданные файлы его и завершает работу.
Файл mlsdf8hwhtdnxhrb.exe в свою очередь скрытоно выполняет следующие операции:
3. регистрирует службу Time, исполняемый файл службы mlsdf8hwhtdnxhrb.exe
4. Регистрирует службу Time в ключах реестра \SafeBoot\Minimal и SafeBoot\Network для обеспечения запуска службы в защищенном режиме
Файл cjnr4r4mucludlven.exe скрытно выполняет следующие операции:
1. Регистрирует службу SpoolSvc213, исполняемый файл cjnr4r4mucludlven.exe, причем его вызов идет с ключом «/service»
2. Запускает службу SpoolSvc213 при помощи выполнения команды «net start SpoolSvc213»
Данный зловред является клоном известного руткита Hacker Defender, и применяет для маскировки перехват множества функций в UserMode, чем собственно и выдает свое присутствие:
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 180 mlsdf8hwhtdnxhrb.exe
>>>> Обнаружена маскировка процесса 232 cjnr4r4mucludlven.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:ReadFile (676) перехвачена, метод APICodeHijack.JmpTo[7FFA7C32]
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrLoadDll (70) перехвачена, метод APICodeHijack.JmpTo[7FFA8377]
Функция ntdll.dll:NtCreateFile (123) перехвачена, метод APICodeHijack.JmpTo[7FFA8B2C]
Функция ntdll.dll:NtDeviceIoControlFile (154) перехвачена, метод APICodeHijack.JmpTo[7FFA87A2]
Функция ntdll.dll:NtEnumerateKey (159) перехвачена, метод APICodeHijack.JmpTo[7FFA7FFF]
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод APICodeHijack.JmpTo[7FFA8104]
Функция ntdll.dll:NtOpenFile (204) перехвачена, метод APICodeHijack.JmpTo[7FFA8BB5]
Функция ntdll.dll:NtOpenProcess (211) перехвачена, метод APICodeHijack.JmpTo[7FFA8AC1]
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.JmpTo[7FFA7EBA]
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo[7FFA7D1C]
Функция ntdll.dll:NtQueryVolumeInformationFile (269) перехвачена, метод APICodeHijack.JmpTo[7FFA86D2]
Функция ntdll.dll:NtReadVirtualMemory (276) перехвачена, метод APICodeHijack.JmpTo[7FFA8177]
Функция ntdll.dll:NtResumeThread (297) перехвачена, метод APICodeHijack.JmpTo[7FFA7F98]
Функция ntdll.dll:NtVdmControl (359) перехвачена, метод APICodeHijack.JmpTo[7FFA7F29]
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo[7FFA7D1C]
Функция ntdll.dll:RtlRunEncodeUnicodeString (777) перехвачена, метод APICodeHijack.JmpTo[7FFA8BF0]
Функция ntdll.dll:ZwCreateFile (933) перехвачена, метод APICodeHijack.JmpTo[7FFA8B2C]
Функция ntdll.dll:ZwDeviceIoControlFile (963) перехвачена, метод APICodeHijack.JmpTo[7FFA87A2]
Функция ntdll.dll:ZwEnumerateKey (968) перехвачена, метод APICodeHijack.JmpTo[7FFA7FFF]
Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод APICodeHijack.JmpTo[7FFA8104]
Функция ntdll.dll:ZwOpenFile (1013) перехвачена, метод APICodeHijack.JmpTo[7FFA8BB5]
Функция ntdll.dll:ZwOpenProcess (1020) перехвачена, метод APICodeHijack.JmpTo[7FFA8AC1]
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.JmpTo[7FFA7EBA]
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo[7FFA7D1C]
Функция ntdll.dll:ZwQueryVolumeInformationFile (1078) перехвачена, метод APICodeHijack.JmpTo[7FFA86D2]
Функция ntdll.dll:ZwReadVirtualMemory (1085) перехвачена, метод APICodeHijack.JmpTo[7FFA8177]
Функция ntdll.dll:ZwResumeThread (1106) перехвачена, метод APICodeHijack.JmpTo[7FFA7F98]
Функция ntdll.dll:ZwVdmControl (1168) перехвачена, метод APICodeHijack.JmpTo[7FFA7F29]
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:EnumServiceGroupW (210) перехвачена, метод APICodeHijack.JmpTo[7FFA84EC]
Функция advapi32.dll:EnumServicesStatusA (211) перехвачена, метод APICodeHijack.JmpTo[7FFA8555]
Функция advapi32.dll:EnumServicesStatusExA (212) перехвачена, метод APICodeHijack.JmpTo[7FFA8627]
Функция advapi32.dll:EnumServicesStatusExW (213) перехвачена, метод APICodeHijack.JmpTo[7FFA85BB]
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSARecv (71) перехвачена, метод APICodeHijack.JmpTo[7FFA8419]
Функция ws2_32.dll:recv (16) перехвачена, метод APICodeHijack.JmpTo[7FFA83B9]
Перехваты успешно снимаются антируткитом AVZ, после снятия перехватов процессы маскировка процессов и файлов на диске нейтрализуется и их можно без проблем удалить.