||||
Symantec.com > Security Response > Backdoor.Haxdoor.H
IMPRIMEZ CETTE PAGE

Backdoor.Haxdoor.H

Niveau de risque 1 : Très faible

Version imprimable

Détecté : 10 Mars 2006
Mis à jour : 13 Février 2007 12:51:04 PM
Type : Cheval de Troie
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP



Lorsque Backdoor.Haxdoor.H s'exécute, il réalise les opérations suivantes :
  1. Il dépose les fichiers suivants :

    • %System%\xmsk32.dll
    • %System%\xmsk64.sys
    • %System%\qz.dll
    • %System%\qz.sys

      Remarque : %System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  2. Crée les fichiers suivants :

    • %System%\redir2.a3d
    • %System%\fltr.a3d
    • %System%\p3.ini

  3. Cache tous les fichiers ci-dessus en utilisant un rootkit.

  4. Crée les services xmsk32 et xmsk64 en créant les sous-clés de registre suivantes :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xmsk32
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xmsk64

  5. Cache tous les services ci-dessus en utilisant un rootkit.

  6. Ajoute les valeurs :

    "secureUID" = "[NOMBRE ALÉATOIRE"
    "secureTIME" = "[JOUR:MOIS]"
    "DllName" = "xmsk32.dll"
    "Startup" = "KeLoadData"
    "Impersonate" = "1"
    "Asynchronous" = "1"
    "MaxWait" = "1"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xmsk32

    sur les ordinateurs utilisant Windows XP/2000/NT de sorte qu'il soit exécuté à chaque démarrage de Windows.

  7. Ajoute les valeurs :

    "DllName" = "xmsk32.dll"
    "EntryPoint" = "KeLoadData"
    "StackSize" = "0"
    "SecureID" = "[NOMBRE ALÉATOIRE]"
    "SecureTIME" = "[JOUR:MOIS]"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MPRServices\TestService

    sur les ordinateurs utilisant Windows 98/Me de sorte qu'il soit exécuté à chaque démarrage de Windows.

  8. Ajoute la valeur :

    "Default" = "Driver"

    aux sous-clés de registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xmsk32.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xmsk64.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\xmsk32.sys
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\xmsk64.sys

    de sorte qu'il fonctionne en mode sans échec.

  9. Ajoute la valeur :

    "EnforceWriteProtection" = "0"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

    pour empêcher l'ordinateur de repérer une activité anormale de la mémoire et pour permettre au cheval de Troie d'écraser des zones de la mémoire.

  10. Tente de dissimuler sa présence en ajoutant xmsk32.dll au processus explorer.exe et en exécutant un thread distant.

  11. Tente de supprimer la sous-clé de registre suivante, qui peut être liée à des versions plus anciennes du cheval de Troie :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
  12. Le fichier avpx32.dll ouvre une porte dérobée sur les ports TCP 16661 et sur deux autres ports aléatoires. L'attaquant distant peut alors effectuer les actions suivantes sur l'ordinateur infecté :

    • Télécharger des fichiers
    • Exécuter des programmes
    • Contrôler le pilote de périphérique du rootkit
    • Dérober des mots de passe stockés dans le stockage protégé
    • Dérober des mots de passe mis en cache en appelant l'API WNetEnumCachedPasswords
    • Dérober le mot de passe de la messagerie instantanée Miranda
    • Recueillir des informations sur la connexion à distance
    • Vérifier si l'application webmoney est installée sur l'ordinateur infecté
    • Dérober le mot de passe d'ICQ
    • Enregistrer les frappes de clavier

  13. L'attaquant distant peut également ajouter du code aux processus suivants, ce qui a pour conséquence de charger xmsk32.dll dans ces processus :

    • explorer.exe
    • iexplore.exe
    • opera.exe
    • myie.exe
    • mozilla.exe
    • thebat.exe
    • outlook.exe
    • msn.exe
    • icq.exe

  14. Dérobe des informations en ouvrant le fichier de cache des URL (History.IE5\index.dat) et en recherchant les chaînes suivantes :

    • ebay.com
    • paypal.c
    • e-gold.c

  15. Tente de terminer les processus suivants :

    • zapro.exe
    • vsmon.exe
    • jamapp.exe
    • atrack.exe
    • iamapp.exe
    • FwAct.exe
    • mpfagent.exe
    • outpost.exe
    • zlclient.exe
    • mpftray.exe

  16. Redirige l'accès des domaines suivants vers le domaine microsoft.com :

    • avp.ch
    • avp.com
    • avp.ru
    • awaps.net
    • customer.symantec.com
    • dispatch.mcafee.com
    • download.mcafee.com
    • downloads1.kaspersky-labs.com
    • downloads1.kaspersky-labs.com
    • downloads1.kaspersky-labs.com
    • downloads2.kaspersky-labs.com
    • downloads3.kaspersky-labs.com
    • downloads4.kaspersky-labs.com
    • downloads-us1.kaspersky-labs.com
    • downloads-us2.kaspersky-labs.com
    • downloads-us3.kaspersky-labs.com
    • engine.awaps.net
    • f-secure.com
    • ftp.avp.ch
    • ftp.downloads2.kaspersky-labs.com
    • ftp.f-secure.com
    • ftp.kasperskylab.ru
    • ftp.kaspersky.ru
    • d-ru-1f.kaspersky-labs.com
    • d-ru-2f.kaspersky-labs.com
    • d-eu-1f.kaspersky-labs.com
    • d-eu-2f.kaspersky-labs.com
    • d-us-1f.kaspersky-labs.com
    • ftp.sophos.com
    • ids.kaspersky-labs.com
    • kaspersky.com
    • kaspersky-labs.com
    • liveupdate.symantec.com
    • liveupdate.symantec.com
    • liveupdate.symantec.com
    • liveupdate.symantecliveupdate.com
    • liveupdate.symantecliveupdate.com
    • mast.mcafee.com
    • mcafee.com
    • my-etrust.com
    • networkassociates.com
    • phx.corporate-ir.net
    • rads.mcafee.com
    • securityresponse.symantec.com
    • service1.symantec.com
    • sophos.com
    • spd.atdmt.com
    • symantec.com
    • trendmicro.com
    • update.symantec.com
    • updates.symantec.com
    • updates1.kaspersky-labs.com
    • updates1.kaspersky-labs.com
    • updates2.kaspersky-labs.com
    • updates3.kaspersky-labs.com
    • updates3.kaspersky-labs.com
    • updates4.kaspersky-labs.com
    • updates5.kaspersky-labs.com
    • us.mcafee.com
    • virustotal.com

  17. Récupère des informations de compte détaillées en accédant à l'URL suivante avec quelques informations dérobées sur l'ordinateur local et ajoutées comme paramètres :

    [https://]www.e-gold.com/acct/account[SUPPRIMÉ]

  18. Envoie un message électronique contenant les informations dérobées à une adresse électronique prédéterminée.

  19. Copie le fichier de mots de passe système %System%\config\SAM dans %System%\config\SSL.


Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : Rodney Andres
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.