Backdoor.Haxdoor.C - это троянская программа, которая открывает лазейку на скомпрометированной системе и позволяет удаленному злоумышленнику получить доступ на систему. Так же он пытается украсть пароли.
При запуске Backdoor.Haxdoor.C выполняет следующие действия:
1. создает следующие файлы:
# %System%\vdt_16.exe
# %System%\i.a3d
# %System%\draw32.dll
# %System%\vm.dll
# %System%\vdnt32.sys
# %System%\hm.sys
# %System%\memlow.sys
# %System%\wd.sys
# %System%\p2.ini
# %Windir%\dt163.dt
2. Запускает %System%\vdt_16.exe как процесс.
3. Прописывается в следующих ключах реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDNT32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW
4. Добавляет следующее значение:
"Disable TrayIcon" = 1
в следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\
5.Добавляет следующее значение:
"Impersonate" = "[1236477522472955044]" "StackSize" = "21:10"
в ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
6. Изменяет следующее значение:
"EnforceWriteProtect" = "0"
в ключе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
7..Добавляет следующее значение:
"hws" = "0x428"
в ключ реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
8. Изменяет следующие записи в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\TestService HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
9. Пытается стерерть следующие записи в реестре:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run\"secboot" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ SharedAccess\"start", которые использовались старой версией данного бэкдора.
10. Открывает 16661, 55168 и 18916 TCP порты для удаленных команд. При подключении троян отвечает следующим сообщением "A-311 Death welcome 1.38".
11. Пытается создать копию SAM файла в файле с именем SLL.
12. Пытается послать по email украденную информацию.