12 lipca 2004

Backdoor.Hacdef.b - omija zapory ogniowe

Jest to backdoor działający wyłącznie w systemach Windows NT/2000/XP. Składa się z dwóch elementów - komponentu głównego (70 144 bajty) oraz pomocniczego (3 328). Szkodnik ma możliwość ukrywania własnego oraz innych procesów, plików na dysku oraz wpisów rejestru systemowego.

Pliki backdoora mogą posiadać różne nazwy, jednak najczęściej pojawiają się jako:

  • Komponent główny:

    isplog.exe
    isplogger.exe

  • Biblioteka pomocnicza

    isplogger.sys
    hkrnlrdv.sys
    hxdefdrv.sys

Instalacja

Po uruchomieniu backdoor rozpakowuje z własnego kodu bibliotekę pomocniczą i instaluje ją w folderze, z którego został uaktywniony.

Szkodnik rejestruje się jako usługa o nazwie Minimal Network, która aktywowana jest wraz z każdym startem systemu Windows.

Backdoor tworzy następujący klucz w rejestrze systemowym:

[HKLM\System\CurrentControlSet\Services\SafeBoot

W celu ukrycia swojej obecności w zainfekowanym systemie backdoor przechwytuje następujące funkcje API:

  • AddAccessAllowedAce
  • AllocateAndInitializeSid
  • CloseHandle
  • closesocket
  • CreateFileA
  • CreateMailslotA
  • CreatePipe
  • CreateProcessA
  • CreateProcessW
  • CreateThread
  • DisconnectNamedPipe
  • DuplicateHandle
  • EnumServicesStatusA
  • EnumServicesStatusW
  • ExitThread
  • FindClose
  • FindFirstFileExW
  • FindNextFileW
  • FlushInstructionCache
  • FreeLibrary
  • GetCurrentProcess
  • GetEnvironmentVariableW
  • GetLastError
  • GetLengthSid
  • GetMailslotInfo
  • GetModuleFileNameA
  • InitializeAcl
  • InitializeSecurityDescriptor
  • IsBadReadPtr
  • LoadLibraryA
  • LoadLibraryExW
  • NtQuerySystemInformation
  • PeekNamedPipe
  • ReadFile
  • recv
  • ResumeThread
  • send
  • SetLastError
  • SetSecurityDescriptorDacl
  • Sleep
  • TerminateProcess
  • TerminateThread
  • VirtualAlloc
  • VirtualFree
  • VirtualProtect
  • VirtualQuery
  • WaitForMultipleObjects
  • WriteFile
  • WSAEventSelect
  • WSAGetLastError
  • WSAIoctl
  • WSARecv

Szkodnik nie otwiera żadnych portów na zainfekowanym komputerze. Dzięki przejęciu powyższych funkcji API ma on możliwość monitorowania całego odbieranego ruchu sieciowego. W ten sposób backdoor wykrywa komendy wydawane przez zdalnego klienta. Po odebraniu odpowiedniego hasła szkodnik otwiera wybrany przez hakera port, co pozwala na uzyskanie pełnego dostępu do zaatakowanej maszyny. Sposób ten pozwala backdoorowi na omijanie ewentualnych zapór ogniowych zainstalowanych na zainfekowanych komputerach.