Показано с 1 по 5 из 5.

Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit

    Сегодня в "живой природе" я изловил зверя Backdoor.Win32.Padodor.ax, который обладает классическим бортовым RootKit - я решил описать его как типовой пример.
    Зверь размещается в файле с имененм Oqjanjpa.exe размером 24167 байта, упакован ASPack. После запуска он перехватывает ряд функций UserMode, вот фрагмент протокола AVZ:
    1. Поиск RootKit и программ, перехватывающих функции API
    >> Опасно ! Обнаружена маскировка процессов
    >>>> Обнаружена маскировка процесса 1456 Okchadpn.exe
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:FindNextFileW (219) перехвачена, метод APICodeHijack.JmpTo
    Функция kernel32.dll:Process32Next (647) перехвачена, метод APICodeHijack.JmpTo
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.JmpTo
    Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.JmpTo
    Функция ntdll.dll:ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.JmpTo
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод APICodeHijack.JmpTo
    Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод APICodeHijack.JmpTo
    Как видно по протоколу, этот Backdoor динамически меняет свое имя, перезват функции kernel32.dll:FindNextFileW позволяет ему замаскировать свои файлы, а kernel32.dll:Process32Next - процессы. Кроме того, имеется перехват
    ntdll.dll:NtQuerySystemInformation,
    ntdll.dll:RtlGetNativeSystemInformation,
    ntdll.dll:ZwQuerySystemInformation
    позвляющий реализовать маскировку процессов от утилит, работающих с NativeAPI (перехват на уровне kernel32 наводит на мысль о работоспособности данного зверя в Windows 9x)
    Перехват функций advapi32.dll:Reg**** позволяет замаскировать от обнаружения ключи реестра.

    Автозапуск оригинален. Кроме exe в системе создается \WINDOWS\system32\Npploclm.dll (Backdoor.Win32.Padodor.gen), который прописывается на автозапуск через ключ реестра ShellServiceObjectDelayLoad, имя параметра - "Internet Explorer". Библиотека эта имеет размер 6 кб и решает единственную задачу - запуск программы "Okchadpn" при помощи API функции WinExec (файл этот ищется в системной папке, которая определяется через GetSystemDirectoryA).

    Лечение
    Перехваченные функции успешно нейтрализуются AVZ, сигнатуры "зверя" есть в базе, поэтому его удаление проходит без проблем. Сигнатур Npploclm.dll в базе нет, пришлось прибить его руками ...

    К слову говоря, на пораженном ПК был обнаружен знаменитый nail.exe (новейшая разновидность, ловит ее только VBA и DrWEB) - возможно, они попали из одного источника.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    230
    Олег,
    а Жене Касперскому экземпляр "зверька" послал?
    Наше дело правое--победа будет за нами!!!

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Палыч
    Олег,
    а Жене Касперскому экземпляр "зверька" послал?
    А он ловится AVP со свежим апдейтом ... - я название по их класиификации дал. Зато я сегодня послал им для анализа еще одного трояна, внедряющегося с применением перехвата API - я его случайно поймал, тестируя эвристик AVZ на виртуальном ПК - он лезет с одного из хакерских сайтов.

  5. #4
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    50
    Цитата Сообщение от Зайцев Олег
    К слову говоря, на пораженном ПК был обнаружен знаменитый nail.exe (новейшая разновидность, ловит ее только VBA и DrWEB) - возможно, они попали из одного источника.
    Рискну предположить - Alexey P. постарался.
    Я тоже подсуетился - стотысячный тикет у ДрВеба подловил.
    Мелочь, а приятно.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Цитата Сообщение от azza
    Рискну предположить - Alexey P. постарался.
    Нет, nail.exe не мой, кто-то раньше успел. Когда я проверял, он уже как Trojan.Nail детектился.
    Вот этот Padodor.ax, о котором статья - выслан мной, добавлен дрвебом как BackDoor.HangUp.27. И тогда он совсем еще не был Padodor.ax .
    VBA эвристиком его детектил сразу, suspected Trojan.Downloader.Small.5.

    Цитата Сообщение от azza
    Я тоже подсуетился - стотысячный тикет у ДрВеба подловил.
    Мелочь, а приятно.
    Поздравляю. Я хотел отловить этот тикет, да свежей заразы не было вовремя. У меня #99780, а за ним уже #100037 и далее .

Похожие темы

  1. Ответов: 17
    Последнее сообщение: 09.03.2012, 12:38
  2. Rootkit.Win32.TDSS.d / BackDoor.Tdss.565
    От Shanna в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 24.01.2010, 17:42
  3. Ответов: 9
    Последнее сообщение: 09.03.2009, 00:30
  4. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
    От dimonavia в разделе Общая сетевая безопасность
    Ответов: 1
    Последнее сообщение: 11.02.2008, 12:55
  5. BackDoor.Scard (Backdoor.Win32.Small.bq)
    От Geser в разделе Описания вредоносных программ
    Ответов: 4
    Последнее сообщение: 11.11.2004, 22:05

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01416 seconds with 16 queries