Backdoor.Lavandos.A

Descrizione: Backdoor
Nome: Backdoor.Lavandos.A (BitDefender)
Alias:
Diffusione: media
Danno: alto
Dimensioni: 90K ca
Scoperto: 6 gennaio 2011

Sintomi
Traffico extra http.
Presenza di:
- HKLM\Software\Setting\PnPData
- HKLM\Software\Setting\CryptoHash
- HKLM\Software\Setting\CoreSettings
- HKLM\SOFTWARE\SETTINGS\ErrorControl
- HKLM\SOFTWARE\SETTINGS\DriveSettings

DESCRIZIONE TECNICA:
Il file originale inietta 3 DLL ( setupapi.dll, dll.dll, lib.dll ) e 1 driver ( sfc.sys ).
Nel processo spoolsv.exe si inietta lib.dll, dll.dll e il driver e in iexplore.exe si inietta dll.dll I tipi di file sono:
- A seconda del browser sul computer infetto: %program file folder% \ [IExplorer | Mozila Firefox | Opera] \ \ Setupapi.dll
- %system folder% \ sfcfiles.dll (lib.dll).
Il sfcfiles.dll pulito è criptato e aggiunto in HKEY_LOCAL_MACHINE \ SOFTWARE \ Settings \ CryptoHash e anche spostato in sfcfiles.dat. Il sfcfiles.dat file viene cancellato dopo un riavvio. Il sfcfiles.dll infetto ha la stessa dimensione e gli stessi attributi (tempo di creazione, data di modifica) del file originale.

Attuazione dettagli:
I nomi delle biblioteche sono criptate e create in un nuovo thread per la descrizione ogni volta che si ha bisogno di caricare una libreria.

Esempio:
8 0 54 3F 34 37 7B 31 3D 76 27 - kernel32
I nomi delle funzioni importate utilizzate sono cercati utilizzando un hash. Si carica la libreria corrispondente e viene calcolato un hash per ogni nome della funzione.

Esempio:
1F515831h - GlobalAlloc

Si fa in modo che la ricerca del codice funzione non inizi con un INT3 (0xCC) [anti-debbuging]. Se trova una INT3 come primo byte della funzione l'indirizzo restituito è quello sbagliato e il programma andrà presto in crash.

Fonte: http://www.bitdefender.com/