На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Backdoor

Backdoor.Win32.Haxdoor.gu


21.03.2006

Backdoor.Win32.Haxdoor.gu

Haxdoor устанавливается при помощи инсталлятора небольшого размера (55-60 кб), инсталлятор может внедряться на компьютер любым способом, например при помощи эксплоита.

После установки в системе образуется два файла:

skyu16.dll, qz.dll - 44034 байта, сжат UPX (заголовки с копирайтами UPX из файла удалены). Прописывается как раширение Winlogon, защищается от анализа путем монопольного открытия файла

skyu24.sys, qz.sys - драйвер, размер 21904 байта, устанавливается в папку System32 и регистрируется в реесте. Перехватывает ряд функций режима ядра:
ZwCreateProcess 
ZwCreateProcessEx 
ZwOpenProcess 
ZwOpenThread 
ZwQueryDirectoryFile
ZwQuerySystemInformation

Как видно из набора перехваченных функций, руткит может маскировть файлы на диске, искажать системную информацию ( в частности список процессов и DLL), отслеживать открытие и создание процессов.

Haxdoor выполняет маскировку процесса  explorer.exe

В UserMode перехватываются две функции: ntdll.dll:LdrLoadDll и wininet.dll:InternetConnectA, обе подменой первых байт машинного кода на команду JMP.

Для реализации Backdoor-функций прослушивается порт 16661 TCP

В папке System32 можно найти файл ps2.a3d - в него в текстовом виде записываются найденные пароли.

Методика лечения:

1. Закрыть все запущенные приложения

2. Запустить AVZ и пролечить ПК с ключенным противодействием руткитам KernelMode и UserMode

3. Включить систему AVZ Guard

4. Удалить файлы skyu24.sys, skyu16.dll при помощи отложенного удаления. Удостовериться в диспетчере автозапуска, что для skyu16.dll удален элемент автозапуска в разделе Winlogon (если такие элементы обнаружатся - удалить их). В диспетчере служб и драйверов удостовериться, что удалены вхождения для драйвера skyu24.sys (если не удалены -удалить)

5. Не выключая AVZ Guard перезагрузить компьютер

6. Провести повторную проверку компьютера при помощи AVZ. В случае успешного лечения сообщения о перехвате функций драйвером skyu24.sys, сообщение о подозрении на троянскую DLL для skyu16.dll и сообщение о прослушивании порта 16661 TCP должны пропасть.





Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.