Security Lab

Backdoor.Haxdoor.C

Backdoor.Haxdoor.C

Backdoor.Haxdoor.C - это троянская программа, которая открывает лазейку на скомпрометированной системе и позволяет удаленному злоумышленнику получить доступ на систему. Так же он пытается украсть пароли.

Backdoor.Haxdoor.C - это троянская программа, которая открывает лазейку на скомпрометированной системе и позволяет удаленному злоумышленнику получить доступ на систему. Так же он пытается украсть пароли.

При запуске Backdoor.Haxdoor.C выполняет следующие действия:

1. создает следующие файлы:

# %System%\vdt_16.exe

# %System%\i.a3d

# %System%\draw32.dll

# %System%\vm.dll

# %System%\vdnt32.sys

# %System%\hm.sys

# %System%\memlow.sys

# %System%\wd.sys

# %System%\p2.ini

# %Windir%\dt163.dt

2. Запускает %System%\vdt_16.exe как процесс.

3. Прописывается в следующих ключах реестра: 

  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDNT32
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW

4. Добавляет следующее значение: 

 "Disable TrayIcon" = 1

в следующий ключ реестра:

  HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\

5.Добавляет следующее значение: 

 "Impersonate" = "[1236477522472955044]"
  "StackSize" = "21:10"

в ключ реестра: 

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\

6. Изменяет следующее значение: 

 "EnforceWriteProtect" = "0"

в ключе реестра: 

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

7..Добавляет следующее значение: 

"hws" = "0x428"

в ключ реестра: 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\

8. Изменяет следующие записи в реестре: 

 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\TestService
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32

9. Пытается стерерть следующие записи в реестре: 

HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run\"secboot"
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ 
  SharedAccess\"start"
, которые использовались старой версией данного бэкдора.

10. Открывает 16661, 55168 и 18916 TCP порты для удаленных команд. При подключении троян отвечает следующим сообщением "A-311 Death welcome 1.38".

11. Пытается создать копию SAM файла в файле с именем SLL.

12. Пытается послать по email украденную информацию.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь