Win32/Haxdoor.BN是一種允許未經授權的訪問被感染機器的特洛伊病毒。特洛伊通過調用"WnetEnumCachedPasswords"功能,嘗試獲得密碼信息。Windows 98 和 ME支持這個功能,但是Windows XP 或 2000不支持這個功能。特洛伊安裝"ycsvgd.sys" 和 "ydsvgd.sys"驅動程式分別調用"NDIS OSI" 和 "NDIS OSI32"。這些驅動從Windows隱藏。
基本介紹
- 中文名:特洛伊病毒Win32.Haxdoor.BN
- 病毒屬性:特洛伊木馬
- 危害性:中等危害
- 病毒特性:特洛伊病毒
其它名稱,感染方式,主要危害,盜竊系統信息,後門功能,修改系統設定,修改進程,清除方法,
其它名稱
BackDoor-BAC (McAfee), Win32Haxdoor.BN, Win32/!Trojan, BKDR_HAXDOOR.IE (Trend), W32/Haxdoor.LB@bd (F-Secure), Backdoor.Haxdoor.O (Symantec), Troj/Haxdoor-DA (Sophos), Backdoor.Win32.Haxdoor.kg (Kaspersky)
具體介紹
Win32/是一種。
感染方式
Win32/有三個程式:
一個帶有任意檔案名稱的可運行程式;
DLL 檔案"ydsvgd.dll";
驅動程式"ycsvgd.sys"。
註:可運行檔案使用FSG和 Krypton壓縮。DLL是UPX壓縮的。
運行時,使用以下檔案名稱多次複製DLL 和驅動程式到%System%資料夾:
DLL:
ydsvgd.dll
qo.dll
驅動程式:
ycsvgd.sys
qo.sys
ydsvgd.sys
這些檔案和它們的原始檔案從Windows 和 command prompt隱藏。
在Windows XP 和 2000系統上,特洛伊生成以下註冊表鍵值:
\Notify\ydsvgd< BR > < BR> \CID= "[<19 decimal digit pseudo-randomuseridentifier>]" (eg. [4367663296393607644])
\Notify\ydsvgd\DllName = "ydsvgd.dll"
\Notify\ydsvgd\StartUp = "XWD33Sifix"
\Notify\ydsvgd\Impersonate = 1
\Notify\ydsvgd\Asynchronous = 1
\Notify\ydsvgd\MaxWait = 1
在Windows 98系統上,特洛伊生成以下註冊表鍵值:
\CID= "[<19 decimal digit pseudo-randomuseridentifier>]"
\DllName = "ydsvgd.dll"
\StartUp = "XWD33Sifix"
這些鍵值確保在系統啟動時調用DLL的 "XWD33Sifix"功能。特洛伊監控這些鍵值,如果發生改變就會重新恢復它們。
Windows 98中,特洛伊利用Mprexe utility調用以上"XWD33Sifix"功能。
Windows XP/2000中,特洛伊還會生成以下鍵值:
HKLM\System\CurrentControlSet\Control\Safeboot\Minimal\ycsvgd.sys
\(default) = "Driver"
HKLM\System\CurrentControlSet\Control\Safeboot\Network\ycsvgd.sys
\(default) = "Driver"
HKLM\System\CurrentControlSet\Control\Session Manager
\Memory Management\EnforceWriteProtection = 0
特洛伊隨後安裝"ycsvgd.sys" 和 "ydsvgd.sys"驅動程式分別調用"NDIS OSI" 和 "NDIS OSI32"。這些驅動從Windows隱藏。
代碼中的一個錯誤導致特洛伊在這一點上停止運行。如果延續機能,可能在正在運行的"explorer.exe"程式中注入一個很小的代碼,並生成一個執行緒來運行這個代碼。這個代碼可能調用"ydsvgd.dll"中的"XWD33Sifix"功能。不管代碼是否成功,只要能夠完全安裝,就允許在下次用戶聯網時特洛伊具有完全的功能。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
主要危害
盜竊系統信息
定期的連線grci.info上的webserver,並傳送敏感的系統信息,包括:
用戶默認的語言;
特洛伊控制者使用的後門連線埠 (通常是16661);
一個SOCKS 連線埠 (任意選定);
一個HTTP 連線埠 (任意選定);
關於用戶是否有Paypal, eBay, or e-Gold.com 帳戶的狀況信息;
計算機運行時間;
一個用戶標識符;
一個特洛伊版本號。
它還收集系統信息,並使用十六進制格式傳送到webserver。例如,一些最小的解碼數據可能是:
; Protected Storage:
Outlook: mail1 | test
Outlook: mail1 | test
-==; Account
POP3 Server | mail1
POP3 User Name | test
; TheBat passwords
===========
NT
PASSWRD
IP: 10.0.26.251
[9575254538010547542]
\identities\POP3 Password2
\identities\POP3 Server
\identities\POP3 User Name
\identities\IMAP Password2
\identities\IMAP Server
\identities\IMAP User Name
HKLM\Software\Webmoney
HKU\SOFTWARE\Mirabilis\ICQ\NewOwners
HKLM\SOFTWARE\Mirabilis\ICQ\Owners
還檢查以下程式的配置檔案:
TheBat!
Miranda ICQ client
特洛伊通過調用"WnetEnumCachedPasswords"功能,嘗試獲得密碼信息。Windows 98 和 ME支持這個功能,但是Windows XP 或 2000不支持這個功能。
後門功能
通常在16661連線埠打開一個後門,特洛伊的控制者可能傳送很多未經授權的命令到被感染的機器。
運行時,嘗試訪問%System%目錄中的以下檔案:
mnsvgas.bin
gsvga.bin
shsvga.bin
wmx.exd
tnstt.exd
特洛伊將收集的信息記錄到這些檔案中,特洛伊的控制者可能請求被傳送檔案的內容。
特洛伊還生成一個長度為零的檔案%System%\kgctini.dat和%Temp%\W01083060Z目錄。這個目錄可能用來保存臨時檔案,例如screen captures。
註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下目錄"C:\Documents and Settings\\Local Settings\Temp", or "C:\WINDOWS\TEMP"。
特洛伊還會記錄信息到%System%\lps.dat。這個檔案在Windows 2000/XP系統中被隱藏。
修改系統設定
特洛伊還可能刪除以下註冊表鍵值:
HKLM\System\CurrentControlSet\Services\VFILT\Start
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
特洛伊為了通過Windows Firewall,生成以下註冊表鍵值:
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
並完成以下鍵值:
值的名稱是特洛伊當前運行的路徑名;
值的內容是路徑名加上":*:Enabled:explorer"。
例如,特洛伊注入運行Windows Explorer,鍵值可能是:
HKLM\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\C:\Windows
\Explorer = "C:\Windows\Explorer :*:Enabled:explorer"
特洛伊可能還會修改以下鍵值:
Explorer\Main\Local Page
Explorer\Main\First Home Page
Explorer\Main\Start Page
Explorer\Main\Default_Page_URL
Explorer\Main\Local Page
Explorer\Main\First Home Page
Explorer\Main\Start Page
Explorer\Main\Default_Page_URL
可能鎖住以下檔案的訪問權,防止其它程式利用它們:
%Program Files Common%\PFWShared\idsxres.dll
%Program Files Common%\ZoneLabs\vsmon.exe
註:'%Program Files Common%'是一個可變的路徑。病毒通過查詢作業系統來決定Program Files Common資料夾的位置。一般在以下目錄C:\Program Files\Common Files.。
修改進程
運行在Windows XP/2000上時,搜尋以下檔案名稱的正在運行的進程,如果找到,就會注入代碼到程式中:
explorer.exe
iexplore.exe
myie.exe
mozilla.exe (includes Firefox)
thebat.exe
outlook.exe
msimn.exe (Outlook Express)
msn.exe
icq.exe
opera.exe
代碼允許程式調用到特洛伊的DLL檔案中的任意位置。還可能生成Pipes,使特洛伊和程式能夠互相通話。
注入的代碼的功能包括阻止訪問特定的站點。防止用戶利用以上程式訪問以下與安全相關的網站:
avp.ch
avp.com
avp.ru
awaps.net
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
engine.awaps.net
f-secure.com
ftp.kaspersky.ru
ftp.sophos.com
kaspersky.com
kaspersky.ru
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
networkassociates.com
phx.corporate-ir.net
rads.mcafee.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
symantec.com
trendmicro.com
u2.eset.com
update.symantec.com
updates.drweb-online.com
updates.symantec.com
us.mcafee.com
virustotal.com
其它的HTTP工具,例如Wget,仍然能夠從這些站點下載檔案。
清除方法
KILL安全胄甲InoculateIT 23.72.99,Vet 30.3.3023 版本可檢測/清除此病毒。