Backdoor/Rootkit Haxdoor / Goldun

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Site Admin
Site Admin
Messages : 95764
Inscription : 10 sept. 2005 13:57
Contact :

Backdoor/Rootkit Haxdoor / Goldun

Message par Malekal_morte » 22 avr. 2007 18:20

Haxdoor/Goldun est une très belle peste. Haxdoor est un malware qui utilise des techniques de rootkit pour se cacher dans le système.. en régle général, les antivirus ne le voit pas. Il existe énormement de variantes.. ce qui ne facilite pas les choses.

Le but de Haxdoor est très simple, enregistrer vos frappes claviers afin de récupérer vos mots de passe d'accès à votre banque ou votre numéro de carte bancaire.
et cela marche... puisque certains clients se fait voler :
http://www.pcinpact.com/actu/news/34269 ... ea-vol.htm

L'auteur du malware a été piégé dans une "Interview" où la personne fait mine de passer commande, si vous parlez anglais, je vous invite à lire; c'est édifiant : http://computersweden.idg.se/2.2683/1.93344

Voici un exemple d'infection Haxdoor :
O20 - Winlogon Notify: qhdtvv - C:\WINDOWS\SYSTEM32\qhdtvv.dll
IPODT1000: \??\C:\WINDOWS\System32\ssipod1.sys (system)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qhdtvv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssipod1
qhdtvv.dll
ssipod1.sys
Le rootkit est donc composé d'une DLL et d'un driver .sys
Le fichier DLL se charge via la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxxxxx
où xxxxx est le nom de la DLL

Voici quelques lignes visibles sur HijackThis des variantes, ici les fichiers se terminent par 32 mais certaines variantes peuvent se terminer par 16 ou 64.
O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll
O20 - Winlogon Notify: avpx32 - C:\WINDOWS\SYSTEM32\avpx32.dll
O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
O20 - Winlogon Notify: fuxx32 - C:\WINDOWS\SYSTEM32\fuxx32.dll
O20 - Winlogon Notify: cert32 - C:\WINDOWS\SYSTEM32\cert32.dll
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O20 - Winlogon Notify: axxt32 - C:\WINDOWS\SYSTEM32\axxt32.dll
Les variantes de variantes eux ont souvent des lettres aléatoires.
O20 - Winlogon Notify: mmx4xt - C:\WINDOWS\SYSTEM32\mmx4xt.dll
O20 - Winlogon Notify: hpprintx - C:\WINDOWS\SYSTEM32\hpprintx.dll
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O20 - Winlogon Notify: wxtwdx - C:\WINDOWS\SYSTEM32\wxtwdx.dll
O20 - Winlogon Notify: bbbbax - C:\WINDOWS\SYSTEM32\bbbbax.dll
etc..
Une liste complète sur cette page : http://users.telenet.be/marcvn/spyware/1585977.htm
Cette présent un fix qui se nomme HAXFIX à utiliser avec précaution.

Exemple de rapport F-Secure BlackLIght :
02/21/06 16:54:25 [Info]: BlackLight Engine 1.0.32 initialized
02/21/06 16:54:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/21/06 16:54:26 [Note]: 7019 4
02/21/06 16:54:26 [Note]: 7005 0
02/21/06 16:54:33 [Note]: 7006 0
02/21/06 16:54:33 [Note]: 7011 1736
02/21/06 16:54:33 [Note]: FSRAW library version 1.7.1015
02/21/06 16:54:54 [Info]: Hidden file: C:\WINDOWS\system32\avload32.dll
02/21/06 16:54:54 [Note]: 10002 1
02/21/06 16:54:55 [Info]: Hidden file: C:\WINDOWS\system32\wnlogow.sys
02/21/06 16:54:55 [Note]: 10002 1
02/21/06 16:56:12 [Note]: 7007 0

_____________________________


Un article sur les dangers d'Haxdoor :
http://www.silicon.fr/fr/silicon/news/2 ... oor-petits
http://www.secuobs.com/news/24052006-haxdoor_in.shtml
http://www.vnunet.fr/fr/vnunet/news/200 ... de-haxdoor

Une FAQ Microsoft sur le plantage occasionné par Haxdoor : http://support.microsoft.com/kb/903251

Une fiche sur Haxdoor sur le site de microsoft : http://www.microsoft.com/security/encyc ... %2fHaxdoor
Une fiche d'une variante Haxdoor d'Avira : http://www.avira.com/fr/threats/section ... or.kg.html
Une fiche d'une variante Haxdoor de Symantec : http://www.symantec.com/security_respon ... 16-1420-99
Une fiche d'une variante Haxdoor de F-Secure :
http://www.f-secure.com/v-descs/haxdoor.shtml
http://www.f-secure.com/v-descs/haxdoor_ki.shtml

Une fiche d'une variante chez Sophos : http://www.sophos.com/security/analyses ... oorin.html


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »