VirusHunter предупреждает всех пользователей ПК о распространении очень опасной троянской программы Backdoor.PolyHack.33264 (aka Backdoor.Haxdoor). Программа позволяет получать полный контроль над зараженными компьютерами через сеть Интернет и распространяется злоумышленниками через файлообменные сети под видом "полезных" программ...


1. Инсталляция в систему.

Троянская программа была обнаружена в одной из файлообменных сетей г.Черновцы 3 июня 2004 года, под видом пакета с "обновлением" антивирусной базы к программе Kaspersky AntiVirus Personal Pro 5.0.13. Файл назывался kav5.0.13_Upd.exe, однако не исключается, что название может быть изменено злоумышленниками. Размер файла - 33264 байта (сжат утилитой "FSG" версии 1.33). Представляет собой установочный пакет троянской программы Backdoor.PolyHack.33264.
Бэкдор содержит в себе множество компонентов и дееспособен под ОС Windows, начиная от версий 9X и заканчивая XP.
При запуске вышеуказанного файла бэкдор инсталлирует свои компоненты в следующие системные подкаталоги:

для Windows 9X/ME:

WINDOWS\SYSTEM\w32_ss.exe (копия-"близнец" установочного пакетного файла бэкдора);
WINDOWS\SYSTEM\debugg.dll (бэкдор-программа, сжатая утилитой "UPX"; имеет размер 58032 байта, а в декомпрессированном виде - 85168 байт);
WINDOWS\SYSTEM\c3.dll (копия-"близнец" файла debugg.dll).

для Windows 2K/2K Server/XP:

WINDOWS\SYSTEM32\w32_ss.exe (копия-"близнец" установочного пакетного файла бэкдора);
WINDOWS\SYSTEM32\debugg.dll (бэкдор-программа, сжатая утилитой "UPX"; имеет размер 25088 байт, а в декомпрессированном виде - 52224 байта);
WINDOWS\SYSTEM32\c3.dll (копия-"близнец" файла debugg.dll);
WINDOWS\SYSTEM32\sdmapi.sys (вспомагательный файл, выполненный в формате исполняемого файла DOS 32, размером 14832 байта);
WINDOWS\SYSTEM32\c3.sys (копия-"близнец" файла sdmapi.sys);
WINDOWS\SYSTEM32\boot32.sys (вспомагательный файл, выполненный в формате исполняемого файла DOS 32, размером 4096 байт);
WINDOWS\SYSTEM32\c4.sys (копия-"близнец" файла boot32.sys).

В качестве даты и времени модификации всем компонентам бэкдора (за исключением файла w32_ss.exe) присваиваются текущие дата и время (под Windows 9X/ME) или случайные соответствующие параметры, взятые от соседствующих с компонентами бэкдора системных файлов (под Windows 2K/2K Server/XP). При некоторых неопределенных условиях под Windows 2K/2K Server/XP копия установочного пакетного файла w32_ss.exe может не создаваться троянцем.
Основным компонентом бэкдора является файл debugg.dll. Этот файл регистрируется в системе как "Менеджер Памяти" (Memory Manager - внутренний процесс ядра ОС Windows: компонент системного процесса EXPLORER.EXE или WINLOGON.EXE для Windows 9X/ME или 2K/2K Server/XP соответсвенно) и одновременно как "Сетевой сервис" (Network Interface Service Process). В результате этого, процесс debugg.dll не фигурирует ни в одном из системных списков активных системных процессов. Более того, под Windows 9X/ME троянец зачастую применяет специальную процедуру, при помощи которой файл debugg.dll защищен от некоторых системных вызовов и не виден на жестком диске (как буд-то его вообще там нет).
Для возможности скрытого запуска при каждом старте системы троянец создает в системном реестре такие ключи:

под Windows 9X/ME:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\TestService]
 "DllName"="debugg.dll"
 "EntryPoint"="MemManager"
 "StackSize"=dword:00000000


под Windows 2K/2K Server/XP:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\debugg]
 "DllName"=hex(2):64,65,62,75,67,67,2e,64,6c,6c,00
 "Startup"="MemManager"
 "Impersonate"=dword:00000001
 "Asynchronous"=dword:00000001
 "MaxWait"=dword:00000001


Как видно, под Windows 2K/2K Server/XP название файла debugg.dll в строке "DLLName" ключа записано в HEX-кодировке для усложнения его (ключа) обнаружения.
Немаловажен и тот факт, что при заражении одной из машин, связанных между собой локальной (офисной) сетью, троянец может инсталлировать себя и на остальные машины, если на последних системный каталог открыт на полный доступ.


2. Процедура "PSW-trojan" (парольный шпион).

В том же каталоге, куда были установлены компоненты троянца, последний создает лог-файл под названием klogini.dll, в который сохраняет в зашифрованном виде выуженные из соответствующих системных файлов пользовательские данные: логин и пароль, информацию по учетным записям Вашего подключения к Интернет-провайдеру, входной пароль в Windows (если есть), сетевые пароли (если есть), используемые для подключений к др. компьютерам при наличии локальной (офисной) сети. Судя по всему, данная процедура работает только под Windows 9X/ME. Также троянцем создается лог-файл page2.ini, в который сохраняется информация о версии установленной на зараженной машине Windows-системе и какие-то служебные данные. В дальнейшем оба указанных отчетных файла могут быть отосланы хакерам.


3. Процедура "keylogger" (клавиатурный шпион).

Троянец также создает в каталоге со своими компонентами лог-файл под названием klog.sys, куда записывает значения нажатых клавиш (только при получении соответствующей команды через Интернет-сеть). При осуществлении данной процедуры троянец распознает набор текста с клавиатуры, производимый в окнах Win32-приложений, а также различных текстовых Win32-редакторов. Кроме того, в этот же отчетный файл под Windows 9X/ME записываются имена и местоположения всех пользовательских и системных приложений, которые запускались во время работы системы, а также их время запуска. В дальнейшем данный отчетный файл также может быть отослан хакерам.


4. Процедура "backdoor" (удаленное администрирование).

При подключении к сети Интернет троянец открывает на зараженной машине 16661-й порт TCP/IP протокола, ожидая команд от своих авторов. При этом под Windows 2K/2K Server/XP троянец использует некоторые специальные функции вспомагательного компонента sdmapi.sys (c3.sys) с целью обхода FireWall'ов (программ Интернет-защиты) ZoneAlarm и Symantec.
Зараженная машина подвергается принудительному скрытному администрированию со стороны хакерской машины, расположенной по IP-адресу 66.246.38.4. В ходе такого "администрирования" бэкдор создает в соответсвующих системных каталогах временные файлы incoming.a3d (записывает в него команды, полученные от злоумышленников) и error.a3d (записывает в него ошибки, которые имели место в процессе подключения к хакерской машине). При этом, основными командами, которые способен выполнять бэкдор, являются следующие:

 - отсылка лог-файлов klogini.dll, page2.ini и klog.sys на адреса электронной почты хакеров, которые троянец считывает из хвостового блока компонента debugg.dll (c3.dll). Список адресов закриптован и расшифровывается троянцем только при получении соответсвующей команды на отсылку логов. Затем генерируется почтовое послание с темой "Re", после чего осуществляется процесс отсылки приложенных лог-файлов примерно на 20 адресов со всеми вытекающими отсюда негативными последствиями. При осуществлении данной процедуры троянец использует собственный SMTP-сервер (логический почтовый сервер отправляемых сообщений).

 - создание лога со списком всех имеющихся на диске файлов.

 - создание/удаление файлов/каталогов на диске.

 - загрузка, установка и запуск на выполнение любых файлов через сеть Интернет.

 - передача файла w32_ss.exe под произвольным именем на машины, связанные с зараженной файлообменной сеткой.

 - установка прав удаленного Администратора зараженной машины (ограничение прав пользователя).


5. Процедура "trojan-downloader" (загрузка файлов через сеть Интернет).

Для возможности передачи/принятия с/на хакерскую машину файлов, троянец создает на зараженной машине что-то вроде файлообменной сети, негласно функционирующей между хакерской и зараженной машинами. Это дает возможность злоумышленнику загружать при помощи троянца на контролируемую им машину, а затем и запускать на выполнение различные вредоносные программы, а также при желании получать с нее копии программных файлов или документов со всеми вытекающими отсюда негативными последствиями. Данный процесс выглядит следующим образом: по команде злоумышленника троянец создает на системном диске инфицированной машины временный каталог (имя каталога может быть различным, т.к. указывается непосредственно злоумышленником), который открывает на полный доступ. Далее троянец производит процесс загрузки файлов, передаваемых либо прямо с удаленной машины, либо при помощи соответсвующей команды вызова скрытной процедуры загрузки этих файлов с каких-либо загрузочных серверов, указываемых злоумышленником. После принятия файлов троянец запускает их на выполнение.
Среди прочих программ троянец может загружать и инсталлировать на машину-жертву какие-то свои дополнительные компоненты под названиями inetmib1.dll и pdx.dll (назначение данных файлов мне неизвестно по причине их отсутствия), а также обновленные версии своих компонентов.
По окончании процесса загрузки файлов, при соответствующей команде злоумышленника троянец удаляет созданный им временный каталог со всем содержимым, представляющим уже лишь файловый мусор.


Прочее.

В коде всех компонентов троянца и некоторых из отчетных файлов присутствует следующая строка-"копирайт" (возможно, идентификатор присутствия в зараженной системе):

)8**.+=                         l8   †   x xx     IIII

Во время осуществления своих процедур бэкдор может проигрывать какие-то sound-трэки.


6. Детектирование троянской программы.

С января 2005 года номенклатурные названия компонентов и инсталлятора данного троянца некоторыми из антивирусных компаний были заменены на следующие:

Антивирус Kaspersky AntiVirus: Backdoor.Win32.Haxdoor.l (компоненты sdmapi.sys и c3.sys детектируются как Backdoor.Win32.Haxdoor.as)

Антивирус BitDefender Professional: Backdoor.Haxdoor.C

Антивирус DrWeb: BackDoor.Death.120

При обнаружении в машине данной троянской программы, после удаления всех ее компонентов рекомендуется сменить все пароли, используемые в системе (в частности, пароль для подключения к сети Интернет), а также номера банковских счетов, если соответствующая информация хранилась в компьютере в период его заражения.


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 05.06.2004
Дата внесения последних изменений: 15.06.2005
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00651407241821