Backdoor.Win32.Haxdoor.dw

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Backdoor.Win32.Haxdoor.dw («Лаборатория Касперского») также известен как: Trojan Horse (Symantec), BackDoor.Haxdoor (Doctor Web), BKDR_HAXDOOR.CI (Trend Micro), Bck/Roxe.A (Panda), Win32/Haxdoor (Eset)

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Основной компонент представляет собой Windows PE-EXE файл. Имеет размер около 50 КБ. Упакован FSG. Размер распакованного файла около 205 КБ.

Бэкдор скрывает свое пребывание в системе.

Инсталляция

После запуска бэкдор создает следующие файлы в системном каталоге Windows:


%System%\avpx32.dll
%System%\avpx32.sys
%System%\avpx64.sys
%System%\p3.ini
%System%\qy.sys
%System%\qz.dll
%System%\qz.sys

Данные модули скрываются от системных вызовов Windows, в связи с чем их невозможно увидеть в списке процессов при загруженной операционной системе.

Затем бэкдор создает следующий ключ и записи в системном реестре:


[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32]
"DllName"="avpx32.dll"
 "Startup"="MmMapView3"
 "Impersonate"="1"
 "Asynchronous"="1"
 "MaxWait"="1"

При каждой следующей загрузке Windows автоматически запустит один из модулей троянца.

Действия

Бэкдор открывает несколько портов и ожидает подключения машин-клиентов, которые затем могут отдавать бэкдору команды с целью похищения паролей, системной информации, различных файлов и произведения других несанкционированных действий.

Бэкдор позволяет по команде «хозяина» просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, отсылать злоумышелннику подробную информацию о системе, в том числе пароли, вводимые с клавиатуры, и другую информацию.