Backdoor.Win32.Haxdoor.dw

Backdoor.Win32.Haxdoor.dw («Лаборатория Касперского») также известен как: Trojan Horse (Symantec), BackDoor.Haxdoor (Doctor Web), BKDR_HAXDOOR.CI (Trend Micro), Bck/Roxe.A (Panda), Win32/Haxdoor (Eset)

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Основной компонент представляет собой Windows PE-EXE файл. Имеет размер около 50 КБ. Упакован FSG. Размер распакованного файла около 205 КБ.

Бэкдор скрывает свое пребывание в системе.

Инсталляция

После запуска бэкдор создает следующие файлы в системном каталоге Windows:

  
  %System%\avpx32.dll
  %System%\avpx32.sys
  %System%\avpx64.sys
  %System%\p3.ini
  %System%\qy.sys
  %System%\qz.dll
  %System%\qz.sys

Данные модули скрываются от системных вызовов Windows, в связи с чем их невозможно увидеть в списке процессов при загруженной операционной системе.

Затем бэкдор создает следующий ключ и записи в системном реестре:

  
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32]
  "DllName"="avpx32.dll"
   "Startup"="MmMapView3"
   "Impersonate"="1"
   "Asynchronous"="1"
   "MaxWait"="1"

При каждой следующей загрузке Windows автоматически запустит один из модулей троянца.

Действия

Бэкдор открывает несколько портов и ожидает подключения машин-клиентов, которые затем могут отдавать бэкдору команды с целью похищения паролей, системной информации, различных файлов и произведения других несанкционированных действий.

Бэкдор позволяет по команде «хозяина» просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, отсылать злоумышелннику подробную информацию о системе, в том числе пароли, вводимые с клавиатуры, и другую информацию.