Haxdoor.AU

HAXDOOR.AU troyano/backdoor deshabilita Explorador manipula tabla descriptora de servicios, roba información, etc.

W32/Haxdoor.AU

Haxdoor.AU es un destructivo troyano/backdoor reportado el 11 de Octubre del 2006, que ingresa furtivamente a los sistemas a través de diversos servicios de Internet, incluso puede ser enviado en mensajes de correo.

Como dropper libera sus archivos componentes a la carpeta %System%, luego inserta su código en el Explorador de Windows.

Como Rootkit parcha la Tabla Descriptora de Servicios del sistema para ocultar invocaciones a archivos, servicios, procesos y llaves de registro.

Como Backdoor roba contraseñas, información y digitación de teclas las cuales envía a una dirección de correo cifrada del autor.

Es un PE (Portable Ejecutable) e infecta Windows 98/2000/XP y Server 2003, escrito en MS Visual C++ con extensión de 54KB y comprimido con el utilitario FSG:

http://www.exetools.com/compressors.htm

Al ingresar a un sistema libera a la carpeta %System% los archivos: qo.dll (el backdoor en sí) qo.sys (copia del backdoor) ycsvgd.sys (copia de qo.sys) ydsvgd.dll (copia de qo.dll) ydsvgd.sys (copia de qo.sys) lps.dat (archivo inocuo)

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

el troyano oculta su presencia insertando el archivo ydsvgd.dll dentro del proceso del Explorador de Windows.

crea también las siguientes llaves de registro y entradas para habilitar la activación del Backdoor, aún se encuentre el sistema ejecutándose en modo seguro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\ycsvgd.sys]
@ = "Driver"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\ydsvgd.sys]
@ = "Driver"

y como parte de su rutina de instalación crea la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd]

Al siguiente inicio del equipo el troyano se registra a sí mismo como un servicio del sistema creando las siguientes llaves y entradas:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\Ycsvgd]
Display Name = "PTA Adapter"
ImagePath = "%System%\ycsvgd.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\Ydsvgd]
Display Name = "PTA Adapter32"
ImagePath = "%System%\ycsvgd.sys"

Para actuar como Rootkit parcha la Tabla Descriptora de Servicios del Sistema, que es la tabla de llamadas o enrutamiento de servicios, que le permitirá ocultar llamadas a archivos, sub-llaves de registro, servicios y procesos asociados a esa instrucción oculta, incluyendo al Explorer.exe, impidiendo que el usuario pueda acceder a las carpetas, sub-carpetas y archivos de Windows.

Luego el troyano abre un Backdoor a través de un puerto TCP aleatorio que permitirá al atacante ejecutar comandos y acciones tales como:

Descargar y ejecutar archivos con códigos malignos
Controla el driver del Rootkit
Robar contraseñas en almacenamiento en carpetas protegidas
Capturar la digitación de teclas

Finalmente envía la información capturada a una dirección de correo cifrada.

PER ANTIVIRUS® versiones 9.8 y 9.9 con registro de virus al 11 de Octubre del 2006 detectan y eliminan este troyano/backdoor.