HAXDOOR.DE troyano deshabilita función ASP.NET, controla Explorador de Windows desestabiliza seguridad del sistema.  

© Jorge Machado  Lima-Perú

Troj/Haxdoor.DE 

Haxdoor.DE es un troyano reportado el 24 de Septiembre del 2006 que ingresa a los servidores, estaciones de trabajo o PC domésticas a través de diversos servicios de Internet. 

Toma control del Explorador de MS Windows, deshabilita la matriz de aplicaciones ASP.NET, crea llaves de registro que desestabilizan el sistema y modifica las políticas de seguridad al manipular llaves de registro vinculadas al Firewall y al acceso de archivos compartidos, limitando su ejecución a programas contenidos en una lista.  

El troyano es ejecutado continuamente en segundo plano, lo cual permitirá que intrusos puedan acceder al sistema a través de canales de Chat. 

Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003 ,desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia a la carpeta %System% con los nombres:

para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lgn1216a]
"DllName" = "%System%\lgn1216a.dll" 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lgn1216a
"Startup" = "%System%\lgn1216a.dll" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el archivo mm77lgn.sys es registrado como un nuevo driver de servicio del sistema con el nombre de "mm77lgn" y nuestra el nombre "MM77lgn control service", creando llaves de registro bajo este parámetro: 

[HKLM\SYSTEM\CurrentControlSet\Services\mm77lgn]

el troyano configura la siguiente llave para deshabilitar la matriz de identidades de aplicaciones ASP.NET

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lgn1216a]
Impersonate = 1

para controlar el Explorer.exe genera la siguiente llave:  

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List
C:\WINDOWS Explorer.EXE = "%Windir%\Explorer.EXE:*:Enabled:explorer"

para desestabilizar la seguridad del sistema genera las siguientes llaves: 

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ 

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\ 

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\ 

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ 

PER ANTIVIRUS® versión 9.8 con registro de virus al 24 de Septiembre del 2006 detecta y elimina este troyano/backdoor. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS