21.03.2006
Backdoor.Win32.Haxdoor.gu
Haxdoor устанавливается при помощи инсталлятора небольшого размера (55-60 кб), инсталлятор может внедряться на компьютер любым способом, например при помощи эксплоита.
После установки в системе образуется два файла:
skyu16.dll, qz.dll - 44034 байта, сжат UPX (заголовки с копирайтами UPX из файла удалены). Прописывается как раширение Winlogon, защищается от анализа путем монопольного открытия файла
skyu24.sys, qz.sys - драйвер, размер 21904 байта, устанавливается в папку System32 и регистрируется в реесте. Перехватывает ряд функций режима ядра:
ZwCreateProcess
ZwCreateProcessEx
ZwOpenProcess
ZwOpenThread
ZwQueryDirectoryFile
ZwQuerySystemInformation
Как видно из набора перехваченных функций, руткит может маскировть файлы на диске, искажать системную информацию ( в частности список процессов и DLL), отслеживать открытие и создание процессов.
Haxdoor выполняет маскировку процесса explorer.exe
В UserMode перехватываются две функции: ntdll.dll:LdrLoadDll и wininet.dll:InternetConnectA, обе подменой первых байт машинного кода на команду JMP.
Для реализации Backdoor-функций прослушивается порт 16661 TCP
В папке System32 можно найти файл ps2.a3d - в него в текстовом виде записываются найденные пароли.
Методика лечения:
1. Закрыть все запущенные приложения
2. Запустить AVZ и пролечить ПК с ключенным противодействием руткитам KernelMode и UserMode
3. Включить систему AVZ Guard
4. Удалить файлы skyu24.sys, skyu16.dll при помощи отложенного удаления. Удостовериться в диспетчере автозапуска, что для skyu16.dll удален элемент автозапуска в разделе Winlogon (если такие элементы обнаружатся - удалить их). В диспетчере служб и драйверов удостовериться, что удалены вхождения для драйвера skyu24.sys (если не удалены -удалить)
5. Не выключая AVZ Guard перезагрузить компьютер
6. Провести повторную проверку компьютера при помощи AVZ. В случае успешного лечения сообщения о перехвате функций драйвером skyu24.sys, сообщение о подозрении на троянскую DLL для skyu16.dll и сообщение о прослушивании порта 16661 TCP должны пропасть.