Le but de Haxdoor est très simple, enregistrer vos frappes claviers afin de récupérer vos mots de passe d'accès à votre banque ou votre numéro de carte bancaire.
et cela marche... puisque certains clients se fait voler :
http://www.pcinpact.com/actu/news/34269 ... ea-vol.htm
L'auteur du malware a été piégé dans une "Interview" où la personne fait mine de passer commande, si vous parlez anglais, je vous invite à lire; c'est édifiant : http://computersweden.idg.se/2.2683/1.93344
Voici un exemple d'infection Haxdoor :
Le rootkit est donc composé d'une DLL et d'un driver .sysO20 - Winlogon Notify: qhdtvv - C:\WINDOWS\SYSTEM32\qhdtvv.dll
IPODT1000: \??\C:\WINDOWS\System32\ssipod1.sys (system)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qhdtvv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssipod1
qhdtvv.dll
ssipod1.sys
Le fichier DLL se charge via la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxxxxx
où xxxxx est le nom de la DLL
Voici quelques lignes visibles sur HijackThis des variantes, ici les fichiers se terminent par 32 mais certaines variantes peuvent se terminer par 16 ou 64.
Les variantes de variantes eux ont souvent des lettres aléatoires.O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll
Une liste complète sur cette page : http://users.telenet.be/marcvn/spyware/1585977.htmO20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\mmx4xt.dll
O20 - Winlogon Notify: hpprintx - C:\WINDOWS\SYSTEM32\hpprintx.dll
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O20 - Winlogon Notify: wxtwdx - C:\WINDOWS\SYSTEM32\wxtwdx.dll
O20 - Winlogon Notify: bbbbax - C:\WINDOWS\SYSTEM32\bbbbax.dll
etc..
Cette présent un fix qui se nomme HAXFIX à utiliser avec précaution.
Exemple de rapport F-Secure BlackLIght :
02/21/06 16:54:25
i: BlackLight Engine 1.0.32 initialized
02/21/06 16:54:25
i: OS: 5.1 build 2600 (Service Pack 2)
02/21/06 16:54:26 [Note]: 7019 4
02/21/06 16:54:26 [Note]: 7005 0
02/21/06 16:54:33 [Note]: 7006 0
02/21/06 16:54:33 [Note]: 7011 1736
02/21/06 16:54:33 [Note]: FSRAW library version 1.7.1015
02/21/06 16:54:54
i: Hidden file: C:\WINDOWS\system32\avload32.dll
02/21/06 16:54:54 [Note]: 10002 1
02/21/06 16:54:55
i: Hidden file: C:\WINDOWS\system32\wnlogow.sys
02/21/06 16:54:55 [Note]: 10002 1
02/21/06 16:56:12 [Note]: 7007 0
_____________________________
Un article sur les dangers d'Haxdoor :
http://www.silicon.fr/fr/silicon/news/2 ... oor-petits
http://www.secuobs.com/news/24052006-haxdoor_in.shtml
http://www.vnunet.fr/fr/vnunet/news/200 ... de-haxdoor
Une FAQ Microsoft sur le plantage occasionné par Haxdoor : http://support.microsoft.com/kb/903251
Une fiche sur Haxdoor sur le site de microsoft : http://www.microsoft.com/security/encyc ... %2fHaxdoor
Une fiche d'une variante Haxdoor d'Avira : http://www.avira.com/fr/threats/section ... or.kg.html
Une fiche d'une variante Haxdoor de Symantec : http://www.symantec.com/security_respon ... 16-1420-99
Une fiche d'une variante Haxdoor de F-Secure :
http://www.f-secure.com/v-descs/haxdoor.shtml
http://www.f-secure.com/v-descs/haxdoor_ki.shtml
Une fiche d'une variante chez Sophos : http://www.sophos.com/security/analyses ... oorin.html