PDA

Просмотр полной версии : Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit



Зайцев Олег
25.07.2005, 12:01
Сегодня в "живой природе" я изловил зверя Backdoor.Win32.Padodor.ax, который обладает классическим бортовым RootKit - я решил описать его как типовой пример.
Зверь размещается в файле с имененм Oqjanjpa.exe размером 24167 байта, упакован ASPack. После запуска он перехватывает ряд функций UserMode, вот фрагмент протокола AVZ:


1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1456 Okchadpn.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo

Как видно по протоколу, этот Backdoor динамически меняет свое имя, перезват функции kernel32.dll:FindNextFileW позволяет ему замаскировать свои файлы, а kernel32.dll:Process32Next - процессы. Кроме того, имеется перехват
ntdll.dll:NtQuerySystemInformation,
ntdll.dll:RtlGetNativeSystemInformation,
ntdll.dll:ZwQuerySystemInformation
позвляющий реализовать маскировку процессов от утилит, работающих с NativeAPI (перехват на уровне kernel32 наводит на мысль о работоспособности данного зверя в Windows 9x)
Перехват функций advapi32.dll:Reg**** позволяет замаскировать от обнаружения ключи реестра.

Автозапуск оригинален. Кроме exe в системе создается \WINDOWS\system32\Npploclm.dll (Backdoor.Win32.Padodor.gen), который прописывается на автозапуск через ключ реестра ShellServiceObjectDelayLoad, имя параметра - "Internet Explorer". Библиотека эта имеет размер 6 кб и решает единственную задачу - запуск программы "Okchadpn" при помощи API функции WinExec (файл этот ищется в системной папке, которая определяется через GetSystemDirectoryA).

Лечение
Перехваченные функции успешно нейтрализуются AVZ, сигнатуры "зверя" есть в базе, поэтому его удаление проходит без проблем. Сигнатур Npploclm.dll в базе нет, пришлось прибить его руками ...

К слову говоря, на пораженном ПК был обнаружен знаменитый nail.exe (новейшая разновидность, ловит ее только VBA и DrWEB) - возможно, они попали из одного источника.

Палыч
25.07.2005, 21:29
Олег,
а Жене Касперскому экземпляр "зверька" послал?

Зайцев Олег
25.07.2005, 22:14
Олег,
а Жене Касперскому экземпляр "зверька" послал?
А он ловится AVP со свежим апдейтом ... - я название по их класиификации дал. Зато я сегодня послал им для анализа еще одного трояна, внедряющегося с применением перехвата API - я его случайно поймал, тестируя эвристик AVZ на виртуальном ПК - он лезет с одного из хакерских сайтов.

azza
25.07.2005, 22:18
К слову говоря, на пораженном ПК был обнаружен знаменитый nail.exe (новейшая разновидность, ловит ее только VBA и DrWEB) - возможно, они попали из одного источника.
Рискну предположить - Alexey P. постарался. :)
Я тоже подсуетился - стотысячный тикет у ДрВеба подловил. :)
Мелочь, а приятно.

Alexey P.
26.07.2005, 01:00
Рискну предположить - Alexey P. постарался. :)

Нет, nail.exe не мой, кто-то раньше успел. Когда я проверял, он уже как Trojan.Nail детектился.
Вот этот Padodor.ax, о котором статья - выслан мной, добавлен дрвебом как BackDoor.HangUp.27. И тогда он совсем еще не был Padodor.ax :).
VBA эвристиком его детектил сразу, suspected Trojan.Downloader.Small.5.


Я тоже подсуетился - стотысячный тикет у ДрВеба подловил. :)
Мелочь, а приятно.
Поздравляю. Я хотел отловить этот тикет, да свежей заразы не было вовремя. У меня #99780, а за ним уже #100037 и далее :).