hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Betroffene Betriebssysteme | Windows |
|---|---|
| Merkmale |
|
| Schutz erhältlich seit | 22 September 2004 09:36:21 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Trojanern.
Weitere Informationen
Troj/Haxdoor-L ist ein Backdoor-Trojaner, der unbefugten Zugriff auf einen infizierten Computer mittels IRC-Kanälen ermöglicht.
Das Installationsprogramm von Troj/Haxdoor-L kopiert sich in den Windows-Systemordner und legt die folgenden Dateien im Systemordner ab: i.a3d oder ps.a3d, draw32.dll, p2.ini, cm.dll, vdnt32.sys, hm.sys, memlow.sys, wd.sys und klogini.dll (unter Windows 95/98/Me werden nicht alle dieser Dateien installiert). Einige dieser Dateien werden als Troj/Haxdoor-K erkannt. i.a3d/ps.a3d, p2.ini und klogini.dll sind harmlose Datendateien, die nicht erkannt werden.
Auf NT-basieren Windows-Versionen werden Dienste namens memlow und vdnt32 (mit den Anzeigenamen "LMMngr" und "MemDRV") erstellt, um memlow.sys und vdnt32.sys zu starten, indem Registrierungseinträge erstellt werden unter:
HKLM\SYSTEM\CurrentControlSet\Services\memlow\
HKLM\SYSTEM\CurrentControlSet\Services\vdnt32\
Für den neuen memlow-Dienst ist der Starttyp auf automatisch eingestellt, so dass er automatisch beim Start aktiviert wird. vdnt32.sys ist so konfiguriert, dass er beim Start automatisch als Treiber gestartet wird.
Auf NT-basierten Windows-Versionen werden Unterschlüssel in folgenden neuen Registrierungseinträgen erstellt, damit draw32.dll beim Start geladen und der "MemManager" Export gestartet wird:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Notify\draw32\
Auf Windows 95/98/Me wird eine der folgenden Zusammenstellungen an Registrierungseinträgen erstellt, so dass draw32.dll beim Start geladen und der "MemManager" Export aufgerufen wird:
HKLM\System\currentcontrolset\control\mprser\
Dllname = draw32.dll
HKLM\System\currentcontrolset\control\mprser\
Entrypoint = "MemManager"
HKLM\System\currentcontrolset\control\mprser\
StackSize = 0
HKLM\System\currentcontrolset\control\MPRServices\
TestService\Dllname = draw32.dll
HKLM\System\currentcontrolset\control\MPRServices\
TestService\Entrypoint = "MemManager"
HKLM\System\currentcontrolset\control\MPRServices\
TestService\StackSize = 0
(Dadurch wird der draw32.dll Code unter dem Mprexe Systemprozess gestartet.)
Die folgenden Registrierungseinträge werden ebenfalls erstellt:
HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableTrayIcon = 1
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
Memory Management\EnforceWriteProtection = 0
HKLM\SYSTEM\CurrentControlSet\Control\Impersonate =
HKLM\SYSTEM\CurrentControlSet\Control\StackSize
Troj/Haxdoor-L löscht außerdem die folgenden Dateien, sofern sie existieren:
%SYSTEM%\drivers\klif.sys
%SYSTEM%\drivers\klpf.sys
Troj/Haxdoor-L versucht, bestimmte Antiviren- und Sicherheitsprogramme zu deaktivieren, und kann versuchen zu verhindern, dass seine Registrierungseinträge und Dateien gelöscht werden.
Jedes Mal, wenn der Trojaner gestartet wird, versucht er, sich mit einem remoten IRC-Server an Port 6667 mit einem zufälligen Nickname und einem bestimmten Kanal zu verbinden. Der Trojaner läuft dann kontinuierlich im Hintergrund und wartet auf dem Kanal auf Anweisungen des remoten Eindringlings.
|
