# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit

## Зайцев Олег

Сегодня в "живой природе" я изловил зверя Backdoor.Win32.Padodor.ax, который обладает классическим бортовым RootKit - я решил описать его как типовой пример. 
Зверь размещается в файле с имененм Oqjanjpa.exe размером 24167 байта, упакован ASPack. После запуска он перехватывает ряд функций UserMode, вот фрагмент протокола AVZ:



> 1. Поиск RootKit и программ, перехватывающих функции API
> >> Опасно ! Обнаружена маскировка процессов
> >>>> Обнаружена маскировка процесса 1456 Okchadpn.exe
> 1.1 Поиск перехватчиков API, работающих в UserMode
> Анализ kernel32.dll, таблица экспорта найдена в секции .text
> Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
> Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
> Анализ ntdll.dll, таблица экспорта найдена в секции .text
> Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
> ...


Как видно по протоколу, этот Backdoor динамически меняет свое имя, перезват функции kernel32.dll:FindNextFileW позволяет ему замаскировать свои файлы, а kernel32.dll:Process32Next - процессы. Кроме того, имеется перехват 
ntdll.dll:NtQuerySystemInformation, 
ntdll.dll:RtlGetNativeSystemInformation, 
ntdll.dll:ZwQuerySystemInformation
позвляющий реализовать маскировку процессов от утилит, работающих с NativeAPI (перехват на уровне kernel32 наводит на мысль о работоспособности данного зверя в Windows 9x)
Перехват функций advapi32.dll:Reg**** позволяет замаскировать от обнаружения ключи реестра. 

Автозапуск оригинален. Кроме exe в системе создается \WINDOWS\system32\Npploclm.dll (Backdoor.Win32.Padodor.gen), который прописывается на автозапуск через ключ реестра ShellServiceObjectDelayLoad, имя параметра - "Internet Explorer". Библиотека эта имеет размер 6 кб и решает единственную задачу - запуск программы "Okchadpn" при помощи API функции WinExec (файл этот ищется в системной папке, которая определяется через GetSystemDirectoryA).

Лечение
Перехваченные функции успешно нейтрализуются AVZ, сигнатуры "зверя" есть в базе, поэтому его удаление проходит без проблем. Сигнатур Npploclm.dll в базе нет, пришлось прибить его руками ...

К слову говоря, на пораженном ПК был обнаружен знаменитый nail.exe (новейшая разновидность, ловит ее только VBA и DrWEB) - возможно, они попали из одного источника.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Палыч

Олег,
а Жене Касперскому экземпляр "зверька" послал?

----------


## Зайцев Олег

> Олег,
> а Жене Касперскому экземпляр "зверька" послал?


 А он ловится AVP со свежим апдейтом ... - я название по их класиификации дал. Зато я сегодня послал им для анализа еще одного трояна, внедряющегося с применением перехвата API - я его случайно поймал, тестируя эвристик AVZ на виртуальном ПК - он лезет с одного из хакерских сайтов.

----------


## azza

> К слову говоря, на пораженном ПК был обнаружен знаменитый nail.exe (новейшая разновидность, ловит ее только VBA и DrWEB) - возможно, они попали из одного источника.


Рискну предположить - *Alexey P.* постарался.  :Smiley: 
Я тоже подсуетился - стотысячный тикет у ДрВеба подловил.  :Smiley: 
Мелочь, а приятно.

----------


## Alexey P.

> Рискну предположить - *Alexey P.* постарался.


 Нет, nail.exe не мой, кто-то раньше успел. Когда я проверял, он уже как Trojan.Nail детектился.
 Вот этот Padodor.ax, о котором статья - выслан мной, добавлен дрвебом как BackDoor.HangUp.27. И тогда он совсем еще не был Padodor.ax  :Smiley: .
 VBA эвристиком его детектил сразу, suspected Trojan.Downloader.Small.5.




> Я тоже подсуетился - стотысячный тикет у ДрВеба подловил. 
> Мелочь, а приятно.


 Поздравляю. Я хотел отловить этот тикет, да свежей заразы не было вовремя. У меня #99780, а за ним уже #100037 и далее  :Smiley: .

----------

