Security Lab

Backdoor.Haxdoor.C

Backdoor.Haxdoor.C

Backdoor.Haxdoor.C - это троянская программа, которая открывает лазейку на скомпрометированной системе и позволяет удаленному злоумышленнику получить доступ на систему. Так же он пытается украсть пароли.

Backdoor.Haxdoor.C - это троянская программа, которая открывает лазейку на скомпрометированной системе и позволяет удаленному злоумышленнику получить доступ на систему. Так же он пытается украсть пароли.

При запуске Backdoor.Haxdoor.C выполняет следующие действия:

1. создает следующие файлы:

# %System%\vdt_16.exe

# %System%\i.a3d

# %System%\draw32.dll

# %System%\vm.dll

# %System%\vdnt32.sys

# %System%\hm.sys

# %System%\memlow.sys

# %System%\wd.sys

# %System%\p2.ini

# %Windir%\dt163.dt

2. Запускает %System%\vdt_16.exe как процесс.

3. Прописывается в следующих ключах реестра:

  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDNT32
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW 

4. Добавляет следующее значение:

 "Disable TrayIcon" = 1

в следующий ключ реестра:

  HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\ 

5.Добавляет следующее значение:

 "Impersonate" = "[1236477522472955044]"
  "StackSize" = "21:10"

в ключ реестра:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

6. Изменяет следующее значение:

 "EnforceWriteProtect" = "0"

в ключе реестра:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 

7..Добавляет следующее значение:

"hws" = "0x428" 

в ключ реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\

8. Изменяет следующие записи в реестре:

 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\TestService
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32 

9. Пытается стерерть следующие записи в реестре:

HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run\"secboot"
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ 
  SharedAccess\"start" 
, которые использовались старой версией данного бэкдора.

10. Открывает 16661, 55168 и 18916 TCP порты для удаленных команд. При подключении троян отвечает следующим сообщением "A-311 Death welcome 1.38".

11. Пытается создать копию SAM файла в файле с именем SLL.

12. Пытается послать по email украденную информацию.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь