Backdoor.Haxdor.o

Jest to narz臋dzie zdalnej administracji rozprzestrzeniaj膮ce si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Szkodnik ma rozmiar 35 792 bajt贸w (kompresja FSG, rozmiar po rozpakowaniu - 103 936 bajt贸w).

Instalacja

Po uruchomieniu backdoor instaluje si臋 w systemowym folderze Windows jako plik w32_ss.exe, a nast臋pnie tworzy kolejne modu艂y:

  • debugg.dll - g艂贸wny modu艂 backdoora
  • sdmapi.sys *
  • boot32.sys *
  • c3.dll *
  • c3.sys *
  • c4.sys *

Pliki oznaczone symbolem * s膮 instalowane wy艂膮cznie w systemach Windows NT/ 2000/ XP.

W systemach Windows 9x/Me szkodnik tworzy klucz rejestru systemowego:

[HKEY_LOCAL_MACHINESystemCurrentControlSet
ControlMPRServicesTestService]
DllName="debugg.dll"
EntryPoint="MemManager"
StackSize=0

W systemach Windows NT/2000/XP szkodnik tworzy klucz rejestru systemowego:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifydebugg]
DllName="debugg.dll"
Startup="MemManager"
Impersonate=1
Asynchronous=1
MaxWait=1

Szkodnik otwiera port 1661 i oczekuje na zdalne polecenia. Backdoor obs艂uguje szeroki wachlarz komend administracyjnych.

Masowe wysy艂anie wiadomo艣ci e-mail

Na polecenie hakera backdoor mo偶e wysy艂a膰 zainfekowane wiadomo艣ci e-mail. Ich zawarto艣膰 jest definiowana przez atakuj膮cego.