Backdoor.Win32.Haxdoor.dw

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине.

Backdoor.Win32.Haxdoor.dw («Лаборатория Касперского») также известен как: Trojan Horse (Symantec), BackDoor.Haxdoor (Doctor Web), BKDR_HAXDOOR.CI (Trend Micro), Bck/Roxe.A (Panda), Win32/Haxdoor (Eset)

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженной машине. Основной компонент представляет собой Windows PE-EXE файл. Имеет размер около 50 КБ. Упакован FSG. Размер распакованного файла около 205 КБ.

Бэкдор скрывает свое пребывание в системе.

Инсталляция

После запуска бэкдор создает следующие файлы в системном каталоге Windows:

 
 %System%\avpx32.dll
 %System%\avpx32.sys
 %System%\avpx64.sys
 %System%\p3.ini
 %System%\qy.sys
 %System%\qz.dll
 %System%\qz.sys

Данные модули скрываются от системных вызовов Windows, в связи с чем их невозможно увидеть в списке процессов при загруженной операционной системе.

Затем бэкдор создает следующий ключ и записи в системном реестре:

 
 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpx32]
 "DllName"="avpx32.dll"
  "Startup"="MmMapView3"
  "Impersonate"="1"
  "Asynchronous"="1"
  "MaxWait"="1"

При каждой следующей загрузке Windows автоматически запустит один из модулей троянца.

Действия

Бэкдор открывает несколько портов и ожидает подключения машин-клиентов, которые затем могут отдавать бэкдору команды с целью похищения паролей, системной информации, различных файлов и произведения других несанкционированных действий.

Бэкдор позволяет по команде «хозяина» просматривать список процессов, выполняющихся на удаленной машине, завершать различные процессы, отсылать злоумышелннику подробную информацию о системе, в том числе пароли, вводимые с клавиатуры, и другую информацию.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.