Wirus omijający firewalla

Nazywa się on Hacdef.b i potrafi ominąć zabezpieczenia w postaci firewalla (zapory ogniowej). Jest to robak typu backdoor działający wyłącznie w systemach Windows NT/2000/XP. Składa się z dwóch elementów - komponentu głównego (70 144 bajty) oraz pomocniczego (3 328). Szkodnik ma możliwość ukrywania procesu własnego oraz innych procesów, plików na dysku oraz wpisów rejestru systemowego.

Pliki backdoora mogą posiadać różne nazwy, jednak najczęściej pojawiają się jako:

Komponent główny:

isplog.exe

isplogger.exe

Biblioteka pomocnicza

isplogger.sys

hkrnlrdv.sys

hxdefdrv.sys

Po uruchomieniu backdoor rozpakowuje z własnego kodu bibliotekę pomocniczą i instaluje ją w folderze, z którego został uaktywniony. Szkodnik rejestruje się jako usługa o nazwie Minimal Network, która aktywowana jest wraz z każdym startem systemu Windows. Backdoor tworzy następujący klucz w rejestrze systemowym:

[HKLMSystemCurrentControlSetServicesSafeBoot

W celu ukrycia swojej obecności w zainfekowanym systemie backdoor przechwytuje funkcje API.

Szkodnik nie otwiera żadnych portów na zainfekowanym komputerze. Dzięki przejęciu powyższych funkcji API ma on możliwość monitorowania całego odbieranego ruchu sieciowego. W ten sposób backdoor wykrywa komendy wydawane przez zdalnego klienta. Po odebraniu odpowiedniego hasła szkodnik otwiera wybrany przez hakera port, co pozwala na uzyskanie pełnego dostępu do zaatakowanej maszyny. Sposób ten pozwala backdoorowi na omijanie ewentualnych zapór ogniowych zainstalowanych na zainfekowanych komputerach.