На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Backdoor

Backdoor.Win32.Padodor.ax

25.06.2005

Backdoor.Win32.Padodor.ax

Backdoor.Win32.Padodor.ax обнаружен в "живой природе" 25.06.2005, для маскировки применяет классический встроенный RootKit

Сам Backdoor размещается в файле с имененм Oqjanjpa.exe размером 24167 байта, упакован ASPack. После запуска он перехватывает ряд функций UserMode, фрагмент протокола AVZ: 

1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1456 Okchadpn.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo

Как видно по протоколу, этот Backdoor динамически меняет свое имя, перехват функции kernel32.dll:FindNextFileW позволяет ему замаскировать свои файлы, а kernel32.dll:Process32Next - процессы. Кроме того, имеется перехват функций:
ntdll.dll:NtQuerySystemInformation,
ntdll.dll:RtlGetNativeSystemInformation,
ntdll.dll:ZwQuerySystemInformation
позвляющий реализовать маскировку процессов от утилит, работающих с NativeAPI (перехват на уровне kernel32 наводит на мысль о работоспособности данного зверя в Windows 9x)
Перехват функций advapi32.dll:Reg**** позволяет замаскировать от обнаружения ключи реестра.

Автозапуск оригинален. Кроме exe в системе создается \WINDOWS\system32\Npploclm.dll (Backdoor.Win32.Padodor.gen), который прописывается на автозапуск через ключ реестра ShellServiceObjectDelayLoad, имя параметра - "Internet Explorer". Библиотека эта имеет размер 6 кб и решает единственную задачу - запуск программы "Okchadpn" при помощи API функции WinExec (файл этот ищется в системной папке, которая определяется через GetSystemDirectoryA).

 

Лечение

  1. Нейтрализация перехватов при помощи антируткита AVZ
  2. Лечения компьютера, что приведет к удлению известных разновидностей по сигнатурами 




Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.