Зайцев Олег
25.07.2005, 13:01
Сегодня в "живой природе" я изловил зверя Backdoor.Win32.Padodor.ax, который обладает классическим бортовым RootKit - я решил описать его как типовой пример.
Зверь размещается в файле с имененм Oqjanjpa.exe размером 24167 байта, упакован ASPack. После запуска он перехватывает ряд функций UserMode, вот фрагмент протокола AVZ:
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1456 Okchadpn.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
Как видно по протоколу, этот Backdoor динамически меняет свое имя, перезват функции kernel32.dll:FindNextFileW позволяет ему замаскировать свои файлы, а kernel32.dll:Process32Next - процессы. Кроме того, имеется перехват
ntdll.dll:NtQuerySystemInformation,
ntdll.dll:RtlGetNativeSystemInformation,
ntdll.dll:ZwQuerySystemInformation
позвляющий реализовать маскировку процессов от утилит, работающих с NativeAPI (перехват на уровне kernel32 наводит на мысль о работоспособности данного зверя в Windows 9x)
Перехват функций advapi32.dll:Reg**** позволяет замаскировать от обнаружения ключи реестра.
Автозапуск оригинален. Кроме exe в системе создается \WINDOWS\system32\Npploclm.dll (Backdoor.Win32.Padodor.gen), который прописывается на автозапуск через ключ реестра ShellServiceObjectDelayLoad, имя параметра - "Internet Explorer". Библиотека эта имеет размер 6 кб и решает единственную задачу - запуск программы "Okchadpn" при помощи API функции WinExec (файл этот ищется в системной папке, которая определяется через GetSystemDirectoryA).
Лечение
Перехваченные функции успешно нейтрализуются AVZ, сигнатуры "зверя" есть в базе, поэтому его удаление проходит без проблем. Сигнатур Npploclm.dll в базе нет, пришлось прибить его руками ...
К слову говоря, на пораженном ПК был обнаружен знаменитый nail.exe (новейшая разновидность, ловит ее только VBA и DrWEB) - возможно, они попали из одного источника.
Зверь размещается в файле с имененм Oqjanjpa.exe размером 24167 байта, упакован ASPack. После запуска он перехватывает ряд функций UserMode, вот фрагмент протокола AVZ:
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1456 Okchadpn.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
Как видно по протоколу, этот Backdoor динамически меняет свое имя, перезват функции kernel32.dll:FindNextFileW позволяет ему замаскировать свои файлы, а kernel32.dll:Process32Next - процессы. Кроме того, имеется перехват
ntdll.dll:NtQuerySystemInformation,
ntdll.dll:RtlGetNativeSystemInformation,
ntdll.dll:ZwQuerySystemInformation
позвляющий реализовать маскировку процессов от утилит, работающих с NativeAPI (перехват на уровне kernel32 наводит на мысль о работоспособности данного зверя в Windows 9x)
Перехват функций advapi32.dll:Reg**** позволяет замаскировать от обнаружения ключи реестра.
Автозапуск оригинален. Кроме exe в системе создается \WINDOWS\system32\Npploclm.dll (Backdoor.Win32.Padodor.gen), который прописывается на автозапуск через ключ реестра ShellServiceObjectDelayLoad, имя параметра - "Internet Explorer". Библиотека эта имеет размер 6 кб и решает единственную задачу - запуск программы "Okchadpn" при помощи API функции WinExec (файл этот ищется в системной папке, которая определяется через GetSystemDirectoryA).
Лечение
Перехваченные функции успешно нейтрализуются AVZ, сигнатуры "зверя" есть в базе, поэтому его удаление проходит без проблем. Сигнатур Npploclm.dll в базе нет, пришлось прибить его руками ...
К слову говоря, на пораженном ПК был обнаружен знаменитый nail.exe (новейшая разновидность, ловит ее только VBA и DrWEB) - возможно, они попали из одного источника.