Backdoor.Hacdef.b – omija zapory ogniowe

W sieci pojawił się nowy wirus Backdoor.Hacdef.b pełniący rolę backdoora a który działa wyłącznie w systemach Windows NT/2000/XP. Składa się z dwóch elementów – komponentu głównego oraz pomocniczego. Szkodnik ma możliwość ukrywania własnego oraz innych procesów, plików na dysku oraz wpisów rejestru systemowego.

Pliki backdoora mogą posiadać różne nazwy, jednak najczęściej pojawiają się jako isplog.exe lub isplogger.exe w komponencie głównym, natomiast w bibliotece pomocniczej są to: isplogger.sys, hkrnlrdv.sys, hxdefdrv.sys

Po uruchomieniu backdoor rozpakowuje z własnego kodu bibliotekę pomocniczą i instaluje ją w folderze, z którego został uaktywniony. Szkodnik rejestruje się jako usługa o nazwie Minimal Network, która aktywowana jest wraz z każdym startem systemu Windows.

Backdoor tworzy następujący klucz w rejestrze systemowym:
HKLM\System\CurrentControlSet\Services\SafeBoot

Szkodnik nie otwiera żadnych portów na zainfekowanym komputerze. Dzięki przejęciu powyższych funkcji API ma on możliwość monitorowania całego odbieranego ruchu sieciowego. W ten sposób backdoor wykrywa komendy wydawane przez zdalnego klienta. Po odebraniu odpowiedniego hasła szkodnik otwiera wybrany przez hakera port, co pozwala na uzyskanie pełnego dostępu do zaatakowanej maszyny. Sposób ten pozwala backdoorowi na omijanie ewentualnych zapór ogniowych zainstalowanych na zainfekowanych komputerach.

Źródło informacji: Kaspersky Lab