请输入您要查询的百科知识:

 

词条 特洛伊病毒Win32.Haxdoor.BN
释义

Win32/Haxdoor.BN是一种允许未经授权的访问被感染机器的特洛伊病毒。特洛伊通过调用"WnetEnumCachedPasswords"功能,尝试获得密码信息。Windows 98 和 ME支持这个功能,但是Windows XP 或 2000不支持这个功能。特洛伊安装"ycsvgd.sys" 和 "ydsvgd.sys"驱动程序分别调用"NDIS OSI" 和 "NDIS OSI32"。这些驱动从Windows隐藏。

其它名称

BackDoor-BAC (McAfee), Win32.Haxdoor.BN, Win32/Haxdoor.BN!Trojan, BKDR_HAXDOOR.IE (Trend), W32/Haxdoor.LB@bd (F-Secure), Backdoor.Haxdoor.O (Symantec), Troj/Haxdoor-DA (Sophos), Backdoor.Win32.Haxdoor.kg (Kaspersky)

病毒属性

特洛伊木马

危害性

中等危害

具体介绍

病毒特性

Win32/Haxdoor.BN是一种允许未经授权的访问被感染机器的特洛伊病毒。

感染方式

Win32/Haxdoor.BN有三个程序:

一个带有任意文件名的可运行程序;

DLL 文件"ydsvgd.dll";

驱动程序"ycsvgd.sys"。

注:可运行文件使用FSG和 Krypton压缩。DLL是UPX压缩的。

运行时,Haxdoor.BN使用以下文件名多次复制DLL 和驱动程序到%System%文件夹:

DLL:

ydsvgd.dll

qo.dll

驱动程序:

ycsvgd.sys

qo.sys

ydsvgd.sys

这些文件和它们的原始文件从Windows 和 command prompt隐藏。

在Windows XP 和 2000系统上,特洛伊生成以下注册表键值:

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon

\otify\\ydsvgd< BR > < BR> \\CID= "[<19 decimal digit pseudo-randomuseridentifier>]" (eg. [4367663296393607644])

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon

\otify\\ydsvgd\\DllName = "ydsvgd.dll"

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon

\otify\\ydsvgd\\StartUp = "XWD33Sifix"

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon

\otify\\ydsvgd\\Impersonate = 1

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon

\otify\\ydsvgd\\Asynchronous = 1

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\WinLogon

\otify\\ydsvgd\\MaxWait = 1

在Windows 98系统上,特洛伊生成以下注册表键值:

HKLM\\System\\CurrentControlSet\\Control\\MPRServices\\TestService

\\CID= "[<19 decimal digit pseudo-randomuseridentifier>]"

HKLM\\System\\CurrentControlSet\\Control\\MPRServices\\TestService

\\DllName = "ydsvgd.dll"

HKLM\\System\\CurrentControlSet\\Control\\MPRServices\\TestService

\\StartUp = "XWD33Sifix"

这些键值确保在系统启动时调用DLL的 "XWD33Sifix"功能。特洛伊监控这些键值,如果发生改变就会重新恢复它们。

Windows 98中,特洛伊利用Mprexe utility调用以上"XWD33Sifix"功能。

Windows XP/2000中,特洛伊还会生成以下键值:

HKLM\\System\\CurrentControlSet\\Control\\Safeboot\\Minimal\\ycsvgd.sys

\\(default) = "Driver"

HKLM\\System\\CurrentControlSet\\Control\\Safeboot\etwork\\ycsvgd.sys

\\(default) = "Driver"

HKLM\\System\\CurrentControlSet\\Control\\Session Manager

\\Memory Management\\EnforceWriteProtection = 0

特洛伊随后安装"ycsvgd.sys" 和 "ydsvgd.sys"驱动程序分别调用"NDIS OSI" 和 "NDIS OSI32"。这些驱动从Windows隐藏。

代码中的一个错误导致特洛伊在这一点上停止运行。如果延续机能,Haxdoor.BN可能在正在运行的"explorer.exe"程序中注入一个很小的代码,并生成一个线程来运行这个代码。这个代码可能调用"ydsvgd.dll"中的"XWD33Sifix"功能。不管代码是否成功,只要能够完全安装,就允许在下次用户联网时特洛伊具有完全的功能。

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

危害

盗窃系统信息

Haxdoor.BN定期的连接grci.info上的webserver,并发送敏感的系统信息,包括:

用户默认的语言;

特洛伊控制者使用的后门端口 (通常是16661);

一个SOCKS 端口 (任意选定);

一个HTTP 端口 (任意选定);

关于用户是否有Paypal, eBay, or e-Gold.com 帐户的状况信息;

计算机运行时间;

一个用户标识符;

一个特洛伊版本号。

它还收集系统信息,并使用十六进制格式发送到webserver。例如,一些最小的解码数据可能是:

; Protected Storage:

Outlook: mail1 | test

Outlook: mail1 | test

-==; Account

POP3 Server | mail1

POP3 User Name | test

; TheBat passwords

===========

NT

PASSWRD

IP: 10.0.26.251

[9575254538010547542]

特洛伊可能定期的发送记录数据的邮件到特定的邮件地址。主题行包含19个阿拉伯数字的用户标识符。

特洛伊为获取可能的用户帐户信息,检查以下注册表键值:

HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts

\\identities\\POP3 Password2

HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts

\\identities\\POP3 Server

HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts

\\identities\\POP3 User Name

HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts

\\identities\\IMAP Password2

HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts

\\identities\\IMAP Server

HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts

\\identities\\IMAP User Name

HKLM\\Software\\Webmoney

HKU\\SOFTWARE\\Mirabilis\\ICQ\ewOwners

HKLM\\SOFTWARE\\Mirabilis\\ICQ\\Owners

Haxdoor.BN还检查以下程序的配置文件:

TheBat!

Miranda ICQ client

特洛伊通过调用"WnetEnumCachedPasswords"功能,尝试获得密码信息。Windows 98 和 ME支持这个功能,但是Windows XP 或 2000不支持这个功能。

后门功能

通常在16661端口打开一个后门,特洛伊的控制者可能发送很多未经授权的命令到被感染的机器。

运行时,Haxdoor.BN尝试访问%System%目录中的以下文件:

mnsvgas.bin

gsvga.bin

shsvga.bin

wmx.exd

tnstt.exd

特洛伊将收集的信息记录到这些文件中,特洛伊的控制者可能请求被发送文件的内容。

特洛伊还生成一个长度为零的文件%System%\\kgctini.dat和%Temp%\\W01083060Z目录。这个目录可能用来保存临时文件,例如screen captures。

注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下目录"C:\\Documents and Settings\\\\Local Settings\\Temp", or "C:\\WINDOWS\\TEMP"。

特洛伊还会记录信息到%System%\\lps.dat。这个文件在Windows 2000/XP系统中被隐藏。

修改系统设置

特洛伊还可能删除以下注册表键值:

HKLM\\System\\CurrentControlSet\\Services\\VFILT\\Start

HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess

HKLM\\SYSTEM\\CurrentControlSet\\Services\\wscsvc

特洛伊为了通过Windows Firewall,生成以下注册表键值:

HKLM\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\Parameters

\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List

并完成以下键值:

值的名称是特洛伊当前运行的路径名;

值的内容是路径名加上":*:Enabled:explorer"。

例如,特洛伊注入运行Windows Explorer,键值可能是:

HKLM\\SYSTEM\\ControlSet001\\Services\\SharedAccess

\\Parameters\\FirewallPolicy\\StandardProfile

\\AuthorizedApplications\\List\\C:\\Windows

\\Explorer = "C:\\Windows\\Explorer :*:Enabled:explorer"

特洛伊可能还会修改以下键值:

HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Local Page

HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\First Home Page

HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page

HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL

HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Local Page

HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\First Home Page

HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page

HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL

Haxdoor.BN可能锁住以下文件的访问权,防止其它程序利用它们:

%Program Files Common%\\PFWShared\\idsxres.dll

%Program Files Common%\\ZoneLabs\\vsmon.exe

注:'%Program Files Common%'是一个可变的路径。病毒通过查询操作系统来决定Program Files Common文件夹的位置。一般在以下目录C:\\Program Files\\Common Files.。

修改进程

运行在Windows XP/2000上时,Haxdoor.BN搜索以下文件名的正在运行的进程,如果找到,就会注入代码到程序中:

explorer.exe

iexplore.exe

myie.exe

mozilla.exe (includes Firefox)

thebat.exe

outlook.exe

msimn.exe (Outlook Express)

msn.exe

icq.exe

opera.exe

代码允许程序调用到特洛伊的DLL文件中的任意位置。还可能生成Pipes,使特洛伊和程序能够互相通话。

注入的代码的功能包括阻止访问特定的站点。Haxdoor.BN防止用户利用以上程序访问以下与安全相关的网站:

avp.ch

avp.com

avp.ru

awaps.net

customer.symantec.com

dispatch.mcafee.com

download.mcafee.com

engine.awaps.net

f-secure.com

ftp.kaspersky.ru

ftp.sophos.com

kaspersky.com

kaspersky.ru

kaspersky-labs.com

liveupdate.symantec.com

liveupdate.symantecliveupdate.com

mast.mcafee.com

mcafee.com

my-etrust.com

networkassociates.com

phx.corporate-ir.net

rads.mcafee.com

securityresponse.symantec.com

service1.symantec.com

sophos.com

spd.atdmt.com

symantec.com

trendmicro.com

u2.eset.com

update.symantec.com

updates.drweb-online.com

updates.symantec.com

us.mcafee.com

virustotal.com

其它的HTTP工具,例如Wget,仍然能够从这些站点下载文件。

清除

KILL安全胄甲InoculateIT 23.72.99,Vet 30.3.3023 版本可检测/清除此病毒。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 11:47:42