8 kwietnia 2004

Backdoor.Haxdor.o - wysyła zainfekowane wiadomości e-mail

Jest to narzędzie zdalnej administracji rozprzestrzeniające się przez internet jako załącznik zainfekowanych wiadomości e-mail. Szkodnik ma rozmiar 35 792 bajtów (kompresja FSG, rozmiar po rozpakowaniu - 103 936 bajtów).

Instalacja

Po uruchomieniu backdoor instaluje się w systemowym folderze Windows jako plik w32_ss.exe, a następnie tworzy kolejne moduły:

  • debugg.dll - główny moduł backdoora
  • sdmapi.sys *
  • boot32.sys *
  • c3.dll *
  • c3.sys *
  • c4.sys *

Pliki oznaczone symbolem * są instalowane wyłącznie w systemach Windows NT/ 2000/ XP.

W systemach Windows 9x/Me szkodnik tworzy klucz rejestru systemowego:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\MPRServices\TestService]
DllName="debugg.dll"
EntryPoint="MemManager"
StackSize=0

W systemach Windows NT/2000/XP szkodnik tworzy klucz rejestru systemowego:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\debugg]
DllName="debugg.dll"
Startup="MemManager"
Impersonate=1
Asynchronous=1
MaxWait=1

Szkodnik otwiera port 1661 i oczekuje na zdalne polecenia. Backdoor obsługuje szeroki wachlarz komend administracyjnych.

Masowe wysyłanie wiadomości e-mail

Na polecenie hakera backdoor może wysyłać zainfekowane wiadomości e-mail. Ich zawartość jest definiowana przez atakującego.