Backdoor.Win32.Haxdoor.a

Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.

Backdoor.Win32.Haxdoor.a («Лаборатория Касперского») также известен как: Backdoor.Haxdoor.a («Лаборатория Касперского»), BackDoor-BAC.gen (McAfee), Backdoor.Trojan (Symantec), BackDoor.Prodex (Doctor Web), Troj/Haxdoor-B (Sophos), Backdoor:Win32/Haxdoor (RAV), BKDR_HAXDOOR.A (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Haxdoor.L (Grisoft), Backdoor.Haxdoor.A (SOFTWIN), Backdoor Program (Panda), Win32/Haxdoor.A (Eset)

Троянская программа, предоставляющая удаленный доступ злоумышленнику к зараженной системе. Имеет шпионский функционал и пытается воровать пароли из разных программ. Размер основного файла — около 25 КБ.

При запуске создает на диске файлы (они хранятся внутри основного):

* pdx.dll — размер около 20 КБ, упакован UPX; основной компонент;

* pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов.

Пытается воровать пароли из следующих приложений и служб:

* EDialer;

* Miranda (ICQ);

* MuxaSoft Mdialer;

* SAM-файлы;

* кешированные сетевые пароли.

Всю собранную информацию, отправляет по электронной почте (протокол SMTP). При подключении выдает строку «A-311 Death welcome».

Добавляет ключи в системный реестр:

 
 [System\CurrentControlSet\Control\
 MPRServices\TestService]
  "DLLName"="pdx.dll"
  "EntryPoint"="CorpseProc"
  "StackSize"=0x1000
 
 [SOFTWARE\Microsoft\Windows NT\
 CurrentVersion\Winlogon\Notify]
  "DllName"="pdx.dll"
  "Startup"="CorpseProc"
  "Impersonate"=1
  "Asynchronous"=0
  "MaxWait"=1 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.