von hisch » 25.06.2004, 22:51
Name: Padodor
Alias-Namen: Padodoor
Ursprung: Russland
Typ: Backdoor
Die Backdoor Padodor wurde von einer russischem Hacker-Gruppe geschrieben, die sich "HangUp Team" nennt.
Diese Backdoor stiehlt persönliche Informationen, wie Kreditkarten-Nummern, Usernamen und Passwörter und andere sicherheitsrelevante Informationen
Padodor.W wurde das erste Mal am 25. Juni 2004 gefunden.
Die Datei der Backdoor ist eine Windows PE EXE-Datei, die mit einer polymorphen Verschlüsselungsroutine verschlüsselt wurde. Die Datei besitzt eine Länge von 51712 Byte.
Jedes Mal, wenn sich die Backdoor installiert, verändert sich die Verschlüsselung, so dass sich die Datei nach jeder Installation unterscheidet.
Wird Padodor.W aufgerufen, kopiert er sich unter einem zufälligen Namen in das Windows-System-Verzeichnis. Dieser ansonsten zufällige Dateiname kann am Ende eine "32" haben, z.B. "amackg32.exe".
Zudem schreibt die Backdoor eine kleine DLL-Datei in diesen Ordner, deren Name ebenfalls zufällig gewählt wurde und auf "32" enden kann. Diese DLL wird benutzt, die EXE-Datei zu starten.
Padodor.W erstellt einige Registry-Schlüssel:
[HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32]
@ = "%WinSysDir%\<zufällige Zeichenkette>.dll"
"ThreadingModel" = "Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"
wobei %WinSysDir% für den Namen des Windows-System-Verzeichnisses steht. Dadurch wird bei jedem Systemstart zunächst die DLL - Datei ausgeführt, die dann die EXE startet.
Um sicherzustellen, das sie nicht mehrfach aktiv ist, erzeugt die Backdoor einen Mutex "KingKarton_10".
Im Windows-System-Verzeichnis wird eine Datei namens
surf.dat
erzeugt, in die die Backdoor bei jeder Aktivierung den Computer- und den Benutzernamen schreibt
SitemapIndex