词条 | 特洛伊病毒Win32.Haxdoor.BN |
释义 | Win32/Haxdoor.BN是一种允许未经授权的访问被感染机器的特洛伊病毒。特洛伊通过调用"WnetEnumCachedPasswords"功能,尝试获得密码信息。Windows 98 和 ME支持这个功能,但是Windows XP 或 2000不支持这个功能。特洛伊安装"ycsvgd.sys" 和 "ydsvgd.sys"驱动程序分别调用"NDIS OSI" 和 "NDIS OSI32"。这些驱动从Windows隐藏。 其它名称BackDoor-BAC (McAfee), Win32.Haxdoor.BN, Win32/Haxdoor.BN!Trojan, BKDR_HAXDOOR.IE (Trend), W32/Haxdoor.LB@bd (F-Secure), Backdoor.Haxdoor.O (Symantec), Troj/Haxdoor-DA (Sophos), Backdoor.Win32.Haxdoor.kg (Kaspersky) 病毒属性特洛伊木马 危害性中等危害 具体介绍病毒特性Win32/Haxdoor.BN是一种允许未经授权的访问被感染机器的特洛伊病毒。 感染方式Win32/Haxdoor.BN有三个程序: 一个带有任意文件名的可运行程序; DLL 文件"ydsvgd.dll"; 驱动程序"ycsvgd.sys"。 注:可运行文件使用FSG和 Krypton压缩。DLL是UPX压缩的。 运行时,Haxdoor.BN使用以下文件名多次复制DLL 和驱动程序到%System%文件夹: DLL: ydsvgd.dll qo.dll 驱动程序: ycsvgd.sys qo.sys ydsvgd.sys 这些文件和它们的原始文件从Windows 和 command prompt隐藏。 在Windows XP 和 2000系统上,特洛伊生成以下注册表键值: HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon \otify\\ydsvgd< BR > < BR> \\CID= "[<19 decimal digit pseudo-randomuseridentifier>]" (eg. [4367663296393607644]) HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon \otify\\ydsvgd\\DllName = "ydsvgd.dll" HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon \otify\\ydsvgd\\StartUp = "XWD33Sifix" HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon \otify\\ydsvgd\\Impersonate = 1 HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon \otify\\ydsvgd\\Asynchronous = 1 HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon \otify\\ydsvgd\\MaxWait = 1 在Windows 98系统上,特洛伊生成以下注册表键值: HKLM\\System\\CurrentControlSet\\Control\\MPRServices\\TestService \\CID= "[<19 decimal digit pseudo-randomuseridentifier>]" HKLM\\System\\CurrentControlSet\\Control\\MPRServices\\TestService \\DllName = "ydsvgd.dll" HKLM\\System\\CurrentControlSet\\Control\\MPRServices\\TestService \\StartUp = "XWD33Sifix" 这些键值确保在系统启动时调用DLL的 "XWD33Sifix"功能。特洛伊监控这些键值,如果发生改变就会重新恢复它们。 Windows 98中,特洛伊利用Mprexe utility调用以上"XWD33Sifix"功能。 Windows XP/2000中,特洛伊还会生成以下键值: HKLM\\System\\CurrentControlSet\\Control\\Safeboot\\Minimal\\ycsvgd.sys \\(default) = "Driver" HKLM\\System\\CurrentControlSet\\Control\\Safeboot\etwork\\ycsvgd.sys \\(default) = "Driver" HKLM\\System\\CurrentControlSet\\Control\\Session Manager \\Memory Management\\EnforceWriteProtection = 0 特洛伊随后安装"ycsvgd.sys" 和 "ydsvgd.sys"驱动程序分别调用"NDIS OSI" 和 "NDIS OSI32"。这些驱动从Windows隐藏。 代码中的一个错误导致特洛伊在这一点上停止运行。如果延续机能,Haxdoor.BN可能在正在运行的"explorer.exe"程序中注入一个很小的代码,并生成一个线程来运行这个代码。这个代码可能调用"ydsvgd.dll"中的"XWD33Sifix"功能。不管代码是否成功,只要能够完全安装,就允许在下次用户联网时特洛伊具有完全的功能。 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 危害盗窃系统信息Haxdoor.BN定期的连接grci.info上的webserver,并发送敏感的系统信息,包括: 用户默认的语言; 特洛伊控制者使用的后门端口 (通常是16661); 一个SOCKS 端口 (任意选定); 一个HTTP 端口 (任意选定); 关于用户是否有Paypal, eBay, or e-Gold.com 帐户的状况信息; 计算机运行时间; 一个用户标识符; 一个特洛伊版本号。 它还收集系统信息,并使用十六进制格式发送到webserver。例如,一些最小的解码数据可能是: ; Protected Storage: Outlook: mail1 | test Outlook: mail1 | test -==; Account POP3 Server | mail1 POP3 User Name | test ; TheBat passwords =========== NT PASSWRD IP: 10.0.26.251 [9575254538010547542] 特洛伊可能定期的发送记录数据的邮件到特定的邮件地址。主题行包含19个阿拉伯数字的用户标识符。 特洛伊为获取可能的用户帐户信息,检查以下注册表键值: HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts \\identities\\POP3 Password2 HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts \\identities\\POP3 Server HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts \\identities\\POP3 User Name HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts \\identities\\IMAP Password2 HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts \\identities\\IMAP Server HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts \\identities\\IMAP User Name HKLM\\Software\\Webmoney HKU\\SOFTWARE\\Mirabilis\\ICQ\ewOwners HKLM\\SOFTWARE\\Mirabilis\\ICQ\\Owners Haxdoor.BN还检查以下程序的配置文件: TheBat! Miranda ICQ client 特洛伊通过调用"WnetEnumCachedPasswords"功能,尝试获得密码信息。Windows 98 和 ME支持这个功能,但是Windows XP 或 2000不支持这个功能。 后门功能通常在16661端口打开一个后门,特洛伊的控制者可能发送很多未经授权的命令到被感染的机器。 运行时,Haxdoor.BN尝试访问%System%目录中的以下文件: mnsvgas.bin gsvga.bin shsvga.bin wmx.exd tnstt.exd 特洛伊将收集的信息记录到这些文件中,特洛伊的控制者可能请求被发送文件的内容。 特洛伊还生成一个长度为零的文件%System%\\kgctini.dat和%Temp%\\W01083060Z目录。这个目录可能用来保存临时文件,例如screen captures。 注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下目录"C:\\Documents and Settings\\\\Local Settings\\Temp", or "C:\\WINDOWS\\TEMP"。 特洛伊还会记录信息到%System%\\lps.dat。这个文件在Windows 2000/XP系统中被隐藏。 修改系统设置特洛伊还可能删除以下注册表键值: HKLM\\System\\CurrentControlSet\\Services\\VFILT\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess HKLM\\SYSTEM\\CurrentControlSet\\Services\\wscsvc 特洛伊为了通过Windows Firewall,生成以下注册表键值: HKLM\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters \\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List 并完成以下键值: 值的名称是特洛伊当前运行的路径名; 值的内容是路径名加上":*:Enabled:explorer"。 例如,特洛伊注入运行Windows Explorer,键值可能是: HKLM\\SYSTEM\\ControlSet001\\Services\\SharedAccess \\Parameters\\FirewallPolicy\\StandardProfile \\AuthorizedApplications\\List\\C:\\Windows \\Explorer = "C:\\Windows\\Explorer :*:Enabled:explorer" 特洛伊可能还会修改以下键值: HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Local Page HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\First Home Page HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Local Page HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\First Home Page HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL Haxdoor.BN可能锁住以下文件的访问权,防止其它程序利用它们: %Program Files Common%\\PFWShared\\idsxres.dll %Program Files Common%\\ZoneLabs\\vsmon.exe 注:'%Program Files Common%'是一个可变的路径。病毒通过查询操作系统来决定Program Files Common文件夹的位置。一般在以下目录C:\\Program Files\\Common Files.。 修改进程运行在Windows XP/2000上时,Haxdoor.BN搜索以下文件名的正在运行的进程,如果找到,就会注入代码到程序中: explorer.exe iexplore.exe myie.exe mozilla.exe (includes Firefox) thebat.exe outlook.exe msimn.exe (Outlook Express) msn.exe icq.exe opera.exe 代码允许程序调用到特洛伊的DLL文件中的任意位置。还可能生成Pipes,使特洛伊和程序能够互相通话。 注入的代码的功能包括阻止访问特定的站点。Haxdoor.BN防止用户利用以上程序访问以下与安全相关的网站: avp.ch avp.com avp.ru awaps.net customer.symantec.com dispatch.mcafee.com download.mcafee.com engine.awaps.net f-secure.com ftp.kaspersky.ru ftp.sophos.com kaspersky.com kaspersky.ru kaspersky-labs.com liveupdate.symantec.com liveupdate.symantecliveupdate.com mast.mcafee.com mcafee.com my-etrust.com networkassociates.com phx.corporate-ir.net rads.mcafee.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com symantec.com trendmicro.com u2.eset.com update.symantec.com updates.drweb-online.com updates.symantec.com us.mcafee.com virustotal.com 其它的HTTP工具,例如Wget,仍然能够从这些站点下载文件。 清除KILL安全胄甲InoculateIT 23.72.99,Vet 30.3.3023 版本可检测/清除此病毒。 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。