Backdoor.Hacdef.b

Jest to backdoor dzia艂aj膮cy wy艂膮cznie w systemach Windows NT/2000/XP. Sk艂ada si臋 z dw贸ch element贸w - komponentu g艂贸wnego (70 144 bajty) oraz pomocniczego (3 328). Szkodnik ma mo偶liwo艣膰 ukrywania w艂asnego oraz innych proces贸w, plik贸w na dysku oraz wpis贸w rejestru systemowego.

Pliki backdoora mog膮 posiada膰 r贸偶ne nazwy, jednak najcz臋艣ciej pojawiaj膮 si臋 jako:

  • Komponent g艂贸wny:

    isplog.exe
    isplogger.exe

  • Biblioteka pomocnicza

    isplogger.sys
    hkrnlrdv.sys
    hxdefdrv.sys

Instalacja

Po uruchomieniu backdoor rozpakowuje z w艂asnego kodu bibliotek臋 pomocnicz膮 i instaluje j膮 w folderze, z kt贸rego zosta艂 uaktywniony.

Szkodnik rejestruje si臋 jako us艂uga o nazwie Minimal Network, kt贸ra aktywowana jest wraz z ka偶dym startem systemu Windows.

Backdoor tworzy nast臋puj膮cy klucz w rejestrze systemowym:

[HKLMSystemCurrentControlSetServicesSafeBoot

W celu ukrycia swojej obecno艣ci w zainfekowanym systemie backdoor przechwytuje nast臋puj膮ce funkcje API:

  • AddAccessAllowedAce
  • AllocateAndInitializeSid
  • CloseHandle
  • closesocket
  • CreateFileA
  • CreateMailslotA
  • CreatePipe
  • CreateProcessA
  • CreateProcessW
  • CreateThread
  • DisconnectNamedPipe
  • DuplicateHandle
  • EnumServicesStatusA
  • EnumServicesStatusW
  • ExitThread
  • FindClose
  • FindFirstFileExW
  • FindNextFileW
  • FlushInstructionCache
  • FreeLibrary
  • GetCurrentProcess
  • GetEnvironmentVariableW
  • GetLastError
  • GetLengthSid
  • GetMailslotInfo
  • GetModuleFileNameA
  • InitializeAcl
  • InitializeSecurityDescriptor
  • IsBadReadPtr
  • LoadLibraryA
  • LoadLibraryExW
  • NtQuerySystemInformation
  • PeekNamedPipe
  • ReadFile
  • recv
  • ResumeThread
  • send
  • SetLastError
  • SetSecurityDescriptorDacl
  • Sleep
  • TerminateProcess
  • TerminateThread
  • VirtualAlloc
  • VirtualFree
  • VirtualProtect
  • VirtualQuery
  • WaitForMultipleObjects
  • WriteFile
  • WSAEventSelect
  • WSAGetLastError
  • WSAIoctl
  • WSARecv

Szkodnik nie otwiera 偶adnych port贸w na zainfekowanym komputerze. Dzi臋ki przej臋ciu powy偶szych funkcji API ma on mo偶liwo艣膰 monitorowania ca艂ego odbieranego ruchu sieciowego. W ten spos贸b backdoor wykrywa komendy wydawane przez zdalnego klienta. Po odebraniu odpowiedniego has艂a szkodnik otwiera wybrany przez hakera port, co pozwala na uzyskanie pe艂nego dost臋pu do zaatakowanej maszyny. Spos贸b ten pozwala backdoorowi na omijanie ewentualnych zap贸r ogniowych zainstalowanych na zainfekowanych komputerach.