其它名稱
BackDoor-BAC (McAfee), Win32.Haxdoor.BN, Win32/Haxdoor.BN!Trojan, BKDR_HAXDOOR.IE (Trend), W32/Haxdoor.LB@bd (F-Secure), Backdoor.Haxdoor.O (Symantec), Troj/Haxdoor-DA (Sophos), Backdoor.Win32.Haxdoor.kg (Kaspersky)
病毒屬性:特洛伊木馬危害性:中等危害流行程度:
病毒特性
Win32/Haxdoor.BN是一種允許未經授權的訪問被感染機器的特洛伊病毒。
感染方式
Win32/Haxdoor.BN有三個程式:
一個帶有任意檔案名稱的可運行程式;
DLL 檔案"ydsvgd.dll";
驅動程式"ycsvgd.sys"。
註:可運行檔案使用FSG和 krypton壓縮。DLL是UPX壓縮的。
運行時,Haxdoor.BN使用以下檔案名稱多次複製DLL 和驅動程式到%System%資料夾:
DLL:
ydsvgd.dll
qo.dll
驅動程式
ycsvgd.sys
qo.sys
ydsvgd.sys
這些檔案和它們的原始檔案從Windows 和 command prompt隱藏。
在Windows XP 和 2000系統上,特洛伊生成以下註冊表鍵值:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
\Notify\ydsvgd< BR > < BR> \CID= "【<19 decimal digit pseudo-randomuseridentifier>】" (eg. 【4367663296393607644】)
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
\Notify\ydsvgd\DllName = "ydsvgd.dll"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
\Notify\ydsvgd\StartUp = "XWD33Sifix"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
\Notify\ydsvgd\impersonate = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
\Notify\ydsvgd\Asynchronous = 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
\Notify\ydsvgd\MaxWait = 1
在Windows 98系統上,特洛伊生成以下註冊表鍵值:
HKLM\System\CurrentControlSet\Control\MPRServices\TestService
\CID= "【<19 decimal digit pseudo-randomuseridentifier>】"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService
\DllName = "ydsvgd.dll"
HKLM\System\CurrentControlSet\Control\MPRServices\TestService
\StartUp = "XWD33Sifix"
這些鍵值確保在系統啟動時調用DLL的 "XWD33Sifix"功能。特洛伊監控這些鍵值,如果發生改變就會重新恢復它們。
Windows 98中,特洛伊利用Mprexe utility調用以上"XWD33Sifix"功能。
Windows XP/2000中,特洛伊還會生成以下鍵值:
HKLM\System\CurrentControlSet\Control\safeboot\Minimal\ycsvgd.sys
\(default) = "Driver"
HKLM\System\CurrentControlSet\Control\Safeboot\Network\ycsvgd.sys
\(default) = "Driver"
HKLM\System\CurrentControlSet\Control\Session Manager
\Memory Management\EnforceWriteProtection = 0
特洛伊隨後安裝"ycsvgd.sys" 和 "ydsvgd.sys"驅動程式分別調用"NDIS OSI" 和 "NDIS OSI32"。這些驅動從Windows隱藏。
代碼中的一個錯誤導致特洛伊在這一點上停止運行。如果延續機能,Haxdoor.BN可能在正在運行的"explorer.exe"程式中注入一個很小的代碼,並生成一個執行緒來運行這個代碼。這個代碼可能調用"ydsvgd.dll"中的"XWD33Sifix"功能。不管代碼是否成功,只要能夠完全安裝,就允許在下次用戶聯網時特洛伊具有完全的功能。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害
盜竊系統信息
Haxdoor.BN定期的連線grci.info上的webserver,並傳送敏感的系統信息,包括:
用戶默認的語言;
特洛伊控制者使用的後門連線埠 (通常是16661);
一個SOCKS 連線埠 (任意選定);
一個HTTP 連線埠 (任意選定);
關於用戶是否有Paypal, eBay, or e-Gold.com 帳戶的狀況信息;
計算機運行時間;
一個用戶標識符;
一個特洛伊版本號。
它還收集系統信息,並使用十六進制格式傳送到webserver。例如,一些最小的解碼數據可能是:
; Protected Storage:
Outlook: mail1 | test
Outlook: mail1 | test
-==; Account
POP3 Server | mail1
POP3 User Name | test
; TheBat passwords
===========
NT
PASSWRD
IP: 10.0.26.251
【9575254538010547542】
特洛伊可能定期的傳送記錄數據的郵件到特定的郵件地址。主題行包含19個阿拉伯數字的用戶標識符。
特洛伊為獲取可能的用戶帳戶信息,檢查以下註冊表鍵值:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
\identities\POP3 Password2
HKCU\Software\Microsoft\Internet Account Manager\Accounts
\identities\POP3 Server
HKCU\Software\Microsoft\Internet Account Manager\Accounts
\identities\POP3 User Name
HKCU\Software\Microsoft\Internet Account Manager\Accounts
\identities\IMAP Password2
HKCU\Software\Microsoft\Internet Account Manager\Accounts
\identities\IMAP Server
HKCU\Software\Microsoft\Internet Account Manager\Accounts
\identities\IMAP User Name
HKLM\Software\Webmoney
HKU\SOFTWARE\Mirabilis\ICQ\NewOwners
HKLM\SOFTWARE\Mirabilis\ICQ\Owners
Haxdoor.BN還檢查以下程式的配置檔案:
TheBat!
Miranda ICQ client
特洛伊通過調用"WnetEnumCachedPasswords"功能,嘗試獲得密碼信息。Windows 98 和 ME支持這個功能,但是Windows XP 或 2000不支持這個功能。
後門功能
通常在16661連線埠打開一個後門,特洛伊的控制者可能傳送很多未經授權的命令到被感染的機器。
運行時,Haxdoor.BN嘗試訪問%System%目錄中的以下檔案:
mnsvgas.bin
gsvga.bin
shsvga.bin
wmx.exd
tnstt.exd
特洛伊將收集的信息記錄到這些檔案中,特洛伊的控制者可能請求被傳送檔案的內容。
特洛伊還生成一個長度為零的檔案%System%\kgctini.dat和%Temp%\W01083060Z目錄。這個目錄可能用來保存臨時檔案,例如screen captures。
註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下目錄"C:\Documents and Settings\\Local Settings\Temp", or "C:\WINDOWS\TEMP"。
特洛伊還會記錄信息到%System%\lps.dat。這個檔案在Windows 2000/XP系統中被隱藏。
修改系統設定
特洛伊還可能刪除以下註冊表鍵值:
HKLM\System\CurrentControlSet\Services\VFILT\Start
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
特洛伊為了通過Windows Firewall,生成以下註冊表鍵值:
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
並完成以下鍵值:
值的名稱是特洛伊當前運行的路徑名;
值的內容是路徑名加上":*:Enabled:explorer"。
例如,特洛伊注入運行Windows Explorer,鍵值可能是:
HKLM\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\C:\Windows
\Explorer = "C:\Windows\Explorer :*:Enabled:explorer"
特洛伊可能還會修改以下鍵值:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
Haxdoor.BN可能鎖住以下檔案的訪問權,防止其它程式利用它們:
%Program Files Common%\PFWShared\idsxres.dll
%Program Files Common%\ZoneLabs\vsmon.exe
註:'%Program Files Common%'是一個可變的路徑。病毒通過查詢作業系統來決定Program Files Common資料夾的位置。一般在以下目錄C:\Program Files\Common Files.。
修改進程
運行在Windows XP/2000上時,Haxdoor.BN搜尋以下檔案名稱的正在運行的進程,如果找到,就會注入代碼到程式中:
explorer.exe
iexplore.exe
myie.exe
mozilla.exe (includes Firefox)
thebat.exe
outlook.exe
msimn.exe (Outlook Express)
msn.exe
icq.exe
opera.exe
代碼允許程式調用到特洛伊的DLL檔案中的任意位置。還可能生成Pipes,使特洛伊和程式能夠互相通話。
注入的代碼的功能包括阻止訪問特定的站點。Haxdoor.BN防止用戶利用以上程式訪問以下與安全相關的網站:
avp.ch
avp.com
avp.ru
awaps.net
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
engine.awaps.net
f-secure.com
ftp.kaspersky.ru
ftp.sophos.com
kaspersky.com
kaspersky.ru
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
networkassociates.com
phx.corporate-ir.net
rads.mcafee.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
symantec.com
trendmicro.com
u2.eset.com
update.symantec.com
updates.drweb-online.com
updates.symantec.com
us.mcafee.com
virustotal.com
其它的HTTP工具,例如Wget,仍然能夠從這些站點下載檔案。
清除方法
KILL安全胄甲InoculateIT 23.72.99,Vet 30.3.3023 版本可檢測/清除此病毒。
