特洛伊病毒Win32.Haxdoor.BQ

王朝百科·作者佚名  2010-01-27
窄屏简体版  字體: |||超大  

其它名称:BackDoor-BAC (McAfee), W32/Goldun.NJ@dr (F-Secure), Win32/Haxdoor.BF!Dropper, Backdoor.Haxdoor.R (Symantec), Troj/Haxdoor-DG (Sophos), BKDR_HAXDOR.AU (Trend), Backdoor.Win32.Haxdoor.lf (Kaspersky)

病毒属性:特洛伊木马 危害性:中等危害 流行程度:

具体介绍:

病毒特性:

Win32/Haxdoor.BQ是一种后门特洛伊病毒,允许攻击者从用户系统收集信息,并远程发送命令到被感染系统。

感染方式:

Win32/Haxdoor.BQ有三个程序:

一个带有任意文件名的可运行程序;

DLL 文件"ydsvgd.dll";

驱动程序"ycsvgd.sys"。

运行时,Haxdoor.BQ使用以下文件名多次复制DLL 和驱动程序到%System%文件夹:

DLL:

ydsvgd.dll

qo.dll

驱动程序:

ycsvgd.sys

qo.sys

ydsvgd.sys

驱动程序文件隐藏系统上带有以上文件名的任意文件,不管它们的实际位置。

在Windows XP 和 2000系统上,特洛伊生成以下注册表键值:

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogonNotify

ydsvgdCID= "[<19 decimal digit pseudo-randomuseridentifier>]"

(eg. [4367663296393607644])

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon

NotifyydsvgdDllName = "ydsvgd.dll"

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon

NotifyydsvgdStartUp = "XWD33Sifix"

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon

NotifyydsvgdImpersonate = 1

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon

NotifyydsvgdAsynchronous = 1

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon

NotifyydsvgdMaxWait = 1

在Windows 98系统上,特洛伊生成以下注册表键值:

HKLMSystemCurrentControlSetControlMPRServicesTestService

CID= "[<19 decimal digit pseudo-randomuseridentifier>]"

HKLMSystemCurrentControlSetControlMPRServicesTestService

DllName = "ydsvgd.dll"

HKLMSystemCurrentControlSetControlMPRServicesTestService

EntryPoint = "XWD33Sifix"

HKLMSystemCurrentControlSetControlMPRServicesTestService

StackSize = 0

这些键值确保在系统启动时调用DLL的 "XWD33Sifix"功能。特洛伊监控这些键值,如果发生改变就会重新恢复它们。

Windows 98中,特洛伊利用Mprexe utility调用以上"XWD33Sifix"功能。

Windows XP/2000中,特洛伊还会生成以下键值:

HKLMSystemCurrentControlSetControlSafebootMinimalycsvgd.sys

(default) = "Driver"

HKLMSystemCurrentControlSetControlSafebootNetworkycsvgd.sys

(default) = "Driver"

HKLMSystemCurrentControlSetControlSession Manager

Memory ManagementEnforceWriteProtection = 0

特洛伊随后安装"ycsvgd.sys" 和 "ydsvgd.sys"驱动程序分别调用"PTA Adapter" 和 "PTA Adapter32"。这些驱动从Windows隐藏。

代码中的一个错误导致特洛伊在这一点上停止运行。如果延续机能,Haxdoor.BQ可能在正在运行的"explorer.exe"程序中注入一个很小的代码,并生成一个线程来运行这个代码。这个代码可能调用"ydsvgd.dll"中的"XWD33Sifix"功能。不管代码是否成功,只要能够完全安装,就允许在下次用户联网时特洛伊具有完全的功能。

危害:

盗窃系统信息

Haxdoor.BQ定期的连接grci.info上的webserver,并发送敏感的系统信息,包括:

用户默认的语言;

特洛伊控制者使用的后门端口 (通常是16661);

一个SOCKS 端口 (任意选定);

一个HTTP 端口 (任意选定);

关于用户是否有Paypal, eBay, or e-Gold.com 帐户的状况信息;

计算机运行时间;

一个用户标识符;

一个特洛伊版本号。

它还收集系统信息,并使用十六进制格式发送到webserver。例如,一些最小的解码数据可能是:

; Protected Storage:

Outlook: mail1 | test

Outlook: mail1 | test

-==; Account

POP3 Server | mail1

POP3 User Name | test

; TheBat passwords

===========

NT

PASSWRD

IP: 10.0.26.251

[9575254538010547542]

特洛伊可能定期的发送记录数据的邮件到特定的邮件地址。主题行包含19个阿拉伯数字的用户标识符。

特洛伊为获取可能的用户帐户信息,检查以下注册表键值:

HKCUSoftwareMicrosoftInternet Account ManagerAccounts

identitiesPOP3 Password2

HKCUSoftwareMicrosoftInternet Account ManagerAccounts

identitiesPOP3 Server

HKCUSoftwareMicrosoftInternet Account ManagerAccounts

identitiesPOP3 User Name

HKCUSoftwareMicrosoftInternet Account ManagerAccounts

identitiesIMAP Password2

HKCUSoftwareMicrosoftInternet Account ManagerAccounts

identitiesIMAP Server

HKCUSoftwareMicrosoftInternet Account ManagerAccounts

identitiesIMAP User Name

HKLMSoftwareWebmoney

HKUSOFTWAREMirabilisICQNewOwners

HKLMSOFTWAREMirabilisICQOwners

Haxdoor.BQ还检查以下程序的配置文件:

TheBat!

Miranda ICQ client

特洛伊通过调用"WnetEnumCachedPasswords"功能,尝试获得密码信息。Windows 98 和 ME支持这个功能,但是Windows XP 或 2000不支持这个功能。

SOCKS 和 HTTP 代理

Haxdoor.BQ运行一个SOCKS 代理和一个HTTP代理,各自在任意选择的一个端口上运行。

后门功能

通常在16661端口打开一个后门,特洛伊的控制者可能发送很多未经授权的命令到被感染的机器。

运行时,Haxdoor.BQ尝试访问%System%目录中的以下文件:

mnsvgas.bin

gsvga.bin

shsvga.bin

wmx.exd

tnstt.exd

特洛伊将收集的信息记录到这些文件中,特洛伊的控制者可能请求被发送文件的内容。

特洛伊还生成一个长度为零的文件%System%kgctini.dat和%Temp%W01083060Z目录。这个目录可能用来保存临时文件,例如screen captures。

注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下目录"C:Documents and Settings\Local SettingsTemp", or "C:WINDOWSTEMP"。

特洛伊还会记录信息到%System%lps.dat。这个文件在Windows 2000/XP系统中被隐藏。

修改系统设置

特洛伊还可能删除以下注册表键值:

HKLMSystemCurrentControlSetServicesVFILTStart

HKLMSYSTEMCurrentControlSetServicesSharedAccess

HKLMSYSTEMCurrentControlSetServiceswscsvc

特洛伊为了通过Windows Firewall,生成以下注册表键值:

HKLMSYSTEMControlSet001ServicesSharedAccessParameters

FirewallPolicyStandardProfileAuthorizedApplicationsList

并完成以下键值:

值的名称是特洛伊当前运行的路径名;

值的内容是路径名加上":*:Enabled:explorer"。

例如,特洛伊注入运行Windows Explorer,键值可能是:

HKLMSYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicy

StandardProfileAuthorizedApplicationsListC:Windows

Explorer = "C:WindowsExplorer :*:Enabled:explorer"

特洛伊可能还会修改以下键值:

HKCUSOFTWAREMicrosoftInternet ExplorerMainLocal Page

HKCUSOFTWAREMicrosoftInternet ExplorerMainFirst Home Page

HKCUSOFTWAREMicrosoftInternet ExplorerMainStart Page

HKCUSOFTWAREMicrosoftInternet ExplorerMainDefault_Page_URL

HKLMSOFTWAREMicrosoftInternet ExplorerMainLocal Page

HKLMSOFTWAREMicrosoftInternet ExplorerMainFirst Home Page

HKLMSOFTWAREMicrosoftInternet ExplorerMainStart Page

HKLMSOFTWAREMicrosoftInternet ExplorerMainDefault_Page_URL

Haxdoor.BQ可能锁住以下文件的访问权,防止其它程序利用它们:

%Program Files Common%PFWSharedidsxres.dll

%Program Files Common%oneLabsvsmon.exe

注:'%Program Files Common%'是一个可变的路径。病毒通过查询操作系统来决定Program Files Common文件夹的位置。一般在以下目录C:Program FilesCommon Files.。

修改进程

运行在Windows XP/2000上时,Haxdoor.BQ搜索以下文件名的正在运行的进程,如果找到,就会注入代码到程序中:

explorer.exe

iexplore.exe

myie.exe

mozilla.exe (includes Firefox)

thebat.exe

outlook.exe

msimn.exe (Outlook Express)

msn.exe

icq.exe

opera.exe

代码允许程序调用到特洛伊的DLL文件中的任意位置。还可能生成Pipes,使特洛伊和程序能够互相通话。

注入的代码的功能包括阻止访问特定的站点。Haxdoor.BQ防止用户利用以上程序访问以下与安全相关的网站:

avp.ch

avp.com

avp.ru

awaps.net

customer.symantec.com

dispatch.mcafee.com

download.mcafee.com

engine.awaps.net

f-secure.com

ftp.kaspersky.ru

ftp.sophos.com

kaspersky.com

kaspersky.ru

kaspersky-labs.com

liveupdate.symantec.com

liveupdate.symantecliveupdate.com

mast.mcafee.com

mcafee.com

my-etrust.com

networkassociates.com

phx.corporate-ir.net

rads.mcafee.com

securityresponse.symantec.com

service1.symantec.com

sophos.com

spd.atdmt.com

symantec.com

trendmicro.com

u2.eset.com

update.symantec.com

updates.drweb-online.com

updates.symantec.com

us.mcafee.com

virustotal.com

其它的HTTP工具,例如Wget,仍然能够从这些站点下载文件。

清除:

KILL安全胄甲InoculateIT 23.73.19,Vet 30.3.3127 版本可检测/清除此病毒。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航