Backdoor/Rootkit Haxdoor / Goldun

[Malekal_morte]

Haxdoor/Goldun est une très belle peste. Haxdoor est un malware qui utilise des techniques de rootkit pour se cacher dans le système.. en régle général, les antivirus ne le voit pas. Il existe énormement de variantes.. ce qui ne facilite pas les choses.

Le but de Haxdoor est très simple, enregistrer vos frappes claviers afin de récupérer vos mots de passe d'accès à votre banque ou votre numéro de carte bancaire.
et cela marche... puisque certains clients se fait voler :
http://www.pcinpact.com/actu/news/34269 ... ea-vol.htm

L'auteur du malware a été piégé dans une "Interview" où la personne fait mine de passer commande, si vous parlez anglais, je vous invite à lire; c'est édifiant : http://computersweden.idg.se/2.2683/1.93344

Voici un exemple d'infection Haxdoor :

O20 - Winlogon Notify: qhdtvv - C:\WINDOWS\SYSTEM32\qhdtvv.dll
IPODT1000: \??\C:\WINDOWS\System32\ssipod1.sys (system)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qhdtvv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssipod1
qhdtvv.dll
ssipod1.sys

Le rootkit est donc composé d'une DLL et d'un driver .sys
Le fichier DLL se charge via la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxxxxx
où xxxxx est le nom de la DLL

Voici quelques lignes visibles sur HijackThis des variantes, ici les fichiers se terminent par 32 mais certaines variantes peuvent se terminer par 16 ou 64.

O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll

Les variantes de variantes eux ont souvent des lettres aléatoires.

O20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\mmx4xt.dll
O20 - Winlogon Notify: hpprintx - C:\WINDOWS\SYSTEM32\hpprintx.dll
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O20 - Winlogon Notify: wxtwdx - C:\WINDOWS\SYSTEM32\wxtwdx.dll
O20 - Winlogon Notify: bbbbax - C:\WINDOWS\SYSTEM32\bbbbax.dll
etc..

Une liste complète sur cette page : http://users.telenet.be/marcvn/spyware/1585977.htm
Cette présent un fix qui se nomme HAXFIX à utiliser avec précaution.

Exemple de rapport F-Secure BlackLIght :

02/21/06 16:54:25 [Info]: BlackLight Engine 1.0.32 initialized
02/21/06 16:54:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/21/06 16:54:26 [Note]: 7019 4
02/21/06 16:54:26 [Note]: 7005 0
02/21/06 16:54:33 [Note]: 7006 0
02/21/06 16:54:33 [Note]: 7011 1736
02/21/06 16:54:33 [Note]: FSRAW library version 1.7.1015
02/21/06 16:54:54 [Info]: Hidden file: C:\WINDOWS\system32\avload32.dll
02/21/06 16:54:54 [Note]: 10002 1
02/21/06 16:54:55 [Info]: Hidden file: C:\WINDOWS\system32\wnlogow.sys
02/21/06 16:54:55 [Note]: 10002 1
02/21/06 16:56:12 [Note]: 7007 0

_____________________________


Un article sur les dangers d'Haxdoor :
http://www.silicon.fr/fr/silicon/news/2 ... oor-petits
http://www.secuobs.com/news/24052006-haxdoor_in.shtml
http://www.vnunet.fr/fr/vnunet/news/200 ... de-haxdoor

Une FAQ Microsoft sur le plantage occasionné par Haxdoor : http://support.microsoft.com/kb/903251

Une fiche sur Haxdoor sur le site de microsoft : http://www.microsoft.com/security/encyc ... %2fHaxdoor
Une fiche d'une variante Haxdoor d'Avira : http://www.avira.com/fr/threats/section ... or.kg.html
Une fiche d'une variante Haxdoor de Symantec : http://www.symantec.com/security_respon ... 16-1420-99
Une fiche d'une variante Haxdoor de F-Secure :
http://www.f-secure.com/v-descs/haxdoor.shtml
http://www.f-secure.com/v-descs/haxdoor_ki.shtml

Une fiche d'une variante chez Sophos : http://www.sophos.com/security/analyses ... oorin.html