Backdoor.Win32.Haxdoor.a

Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.

Backdoor.Win32.Haxdoor.a («Лаборатория Касперского») также известен как: Backdoor.Haxdoor.a («Лаборатория Касперского»), BackDoor-BAC.gen (McAfee), Backdoor.Trojan (Symantec), BackDoor.Prodex (Doctor Web), Troj/Haxdoor-B (Sophos), Backdoor:Win32/Haxdoor (RAV), BKDR_HAXDOOR.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Haxdoor.L (Grisoft), Backdoor.Haxdoor.A (SOFTWIN), Backdoor Program (Panda), Win32/Haxdoor.A (Eset)

Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.

При запуске создает на диске файлы (они хранятся внутри основного):

* pdx.dll — размер около 20 КБ, упакован UPX; основной компонент;

* pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов.

Пытается воровать пароли из следующих приложений и служб:

* EDialer;

* Miranda (ICQ);

* MuxaSoft Mdialer;

* SAM-файлы;

* кешированные сетевые пароли.

Всю собранную информацию, отправляет по электронной почте (протокол SMTP). При подключении выдает строку «A-311 Death welcome».

Добавляет ключи в системный реестр:


[System\CurrentControlSet\Control\
MPRServices\TestService]
 "DLLName"="pdx.dll"
 "EntryPoint"="CorpseProc"
 "StackSize"=0x1000

[SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon\Notify]
 "DllName"="pdx.dll"
 "Startup"="CorpseProc"
 "Impersonate"=1
 "Asynchronous"=0
 "MaxWait"=1