Backdoor.Win32.Haxdoor.a

Backdoor.Win32.Haxdoor.a («Лаборатория Касперского») также известен как: Backdoor.Haxdoor.a («Лаборатория Касперского»), BackDoor-BAC.gen (McAfee), Backdoor.Trojan (Symantec), BackDoor.Prodex (Doctor Web), Troj/Haxdoor-B (Sophos), Backdoor:Win32/Haxdoor (RAV), BKDR_HAXDOOR.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Haxdoor.L (Grisoft), Backdoor.Haxdoor.A (SOFTWIN), Backdoor Program (Panda), Win32/Haxdoor.A (Eset)

Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.

При запуске создает на диске файлы (они хранятся внутри основного):

* pdx.dll — размер около 20 КБ, упакован UPX; основной компонент;

* pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов.

Пытается воровать пароли из следующих приложений и служб:

* EDialer;

* Miranda (ICQ);

* MuxaSoft Mdialer;

* SAM-файлы;

* кешированные сетевые пароли.

Всю собранную информацию, отправляет по электронной почте (протокол SMTP). При подключении выдает строку «A-311 Death welcome».

Добавляет ключи в системный реестр:

  
  [System\CurrentControlSet\Control\
  MPRServices\TestService]
   "DLLName"="pdx.dll"
   "EntryPoint"="CorpseProc"
   "StackSize"=0x1000
  
  [SOFTWARE\Microsoft\Windows NT\
  CurrentVersion\Winlogon\Notify]
   "DllName"="pdx.dll"
   "Startup"="CorpseProc"
   "Impersonate"=1
   "Asynchronous"=0
   "MaxWait"=1