Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.Haxdoor.321

(BackDoor-BAC.gen, Backdoor.Generic.3038, PSW.Generic2.EOE, TR/Spy.Goldu.FT.1.A, BackDoor-BAC.dll, Win32/Haxdoor, TR/Crypt.ULPM.Gen, Win32/Haxdoor!generic, BackDoor-BAC.sys, BKDR_Generic, PAK_Generic.001, BDS/Haxdoor.EB.2, BackDoor.Haxdoor.321, Generic.dk, Backdoor.Haxdoor.LL, Backdoor.Win32.Haxdoor.dw, BackDoor.Generic3.GEY, Backdoor:Win32/Haxdoor, Trojan-Droper.Win32.Goldun)

Описание добавлено:

Тип вируса: Программа удалённого администрирования

Размер: 59051 байт

Уязвимые ОС: Win95/98/NT/2k/XP/2k3

Упакован: FSG

Техническая информация

  • При своём запуске создаёт следующие файлы:
    %Windir%\System32\seppgs.dll, %Windir%\System32\qz.dll (42002 байт, упакован UPX, детектируются антивирусом Dr.Web как Backdoor.Haxdoor.321) %Windir%\System32\twpkbd.sys, %Windir%\System32\zq.sys (21888 байт, упакован UPolyX, детектируются антивирусом Dr.Web как Backdoor.Haxdoor.321)
  • Для обеспечения автозагрузки своих модулей создаёт следующие разделы и ключи системного реестра:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\seppgs
  • Устанавливает свой драйвер как службу и обеспечивает свой запуск независимо от режима загрузки Windows. Для этого создаёт следующие ключи в системном реестре:

    HKLM\SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal\seppgm.sys
    HKLM\SYSTEM\ControlSetXXX\Control\SafeBoot\\Control\SafeBoot\Minimal\seppgm.sys
    HKLM\SYSTEM\ControlSetXXX\\Control\SafeBoot\Network\seppgm.sys
    HKLM\SYSTEM\ControlSetXXX\\Control\SafeBoot\Network\seppgm.sys

    Выводимые имена служб: "TCP x IP2 Kernel" и "TCP x IP2 Kernel32".

  • Файл seppgs.dll внедряется в память процесса Explorer.exe и в память всех запускаемых процессов.
  • Для обхода стандартного брандмауэра Windows XP SP 2 создаёт ключ в реестре:
    HKLM\SYSTEM\ControlSetXXX\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%Windir%\Explorer.EXE: "%Windir%\Explorer.EXE:*:Enabled:explorer"
  • Перехват обеспечивает модуль режима ядра seppgm.sys. Перехват выполняется методом модификации таблицы KiST.
  • Удаляет в системном реестре следующие подразделы:

    HKLM\SOFTWARE\Agnitum\Outpost Firewall
    HKLM\SOFTWARE\Agnitum\Outpost Firewall\Paths

  • Маскирует своё присутствие в системе, перехватывая следующие функции ядра:

    NtCreateProcess
    NtCreateProcessEx
    NtOpenProcess
    NtOpenThread
    NtQueryDirectoryFile
    NtQuerySystemInformation

  • Препятствует установлению соединения с сайтами, содержащими в доменном имени строки:
  • vp.ch
    avp.com
    avp.ru
    awaps.net
    customer.symantec.com
    dispatch.mcafee.com
    download.mcafee.com
    downloads1.kaspersky-labs.com
    downloads1.kaspersky-labs.com
    downloads1.kaspersky-labs.com
    downloads2.kaspersky-labs.com
    downloads3.kaspersky-labs.com
    downloads4.kaspersky-labs.com
    downloads-us1.kaspersky-labs.com
    downloads-us2.kaspersky-labs.com
    downloads-us3.kaspersky-labs.com
    engine.awaps.net
    f-secure.com
    ftp.avp.ch
    ftp.downloads2.kaspersky-labs.com
    ftp.f-secure.com
    ftp.kasperskylab.ru
    ftp.kaspersky.ru
    d-ru-1f.kaspersky-labs.com
    d-ru-2f.kaspersky-labs.com
    d-eu-1f.kaspersky-labs.com
    d-eu-2f.kaspersky-labs.com
    d-us-1f.kaspersky-labs.com
    ftp.sophos.com
    ids.kaspersky-labs.com
    kaspersky.com
    kaspersky-labs.com
    liveupdate.symantec.com
    liveupdate.symantec.com
    liveupdate.symantec.com
    liveupdate.symantecliveupdate.com
    liveupdate.symantecliveupdate.com
    mast.mcafee.com
    mcafee.com
    my-etrust.com
    networkassociates.com
    phx.corporate-ir.net
    rads.mcafee.com
    securityresponse.symantec.com
    service1.symantec.com
    sophos.com
    spd.atdmt.com
    symantec.com
    trendmicro.com
    update.symantec.com
    updates.symantec.com
    updates1.kaspersky-labs.com
    updates1.kaspersky-labs.com
    updates2.kaspersky-labs.com
    updates3.kaspersky-labs.com
    updates3.kaspersky-labs.com
    updates4.kaspersky-labs.com
    updates5.kaspersky-labs.com
    us.mcafee.com
    virustotal.com

  • Завершает работу процессов:

    zapro.exe
    vsmon.exe
    jamapp.exe
    atrack.exe
    iamapp.exe
    FwAct.exe
    mpfagent.exe
    outpost.exe
    zlclient.exe
    mpftray.exe

  • Cодержит функции сбора паролей к системе WebMoney и к ICQ-месенджерам Miranda и Mirabilis ICQ.
  • Cодержит функции сбора параметров учётных записей электронной почты и доступа к сети Интернет с последующей их передачей злоумышленнику.
  • Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке