初识“哈克斯”(haxdoor)后门
5.18,诺顿闹出那起乌龙事件后,关注了这个后门两天。
今天,得到了一个样本(卡巴斯基报:Backdoor.Win32.Haxdoor.kn),运行了一下。
样本运行后,创建下列两个后门文件:
C:\windows\system32\p79bsksb.sys
C:\windows\system32\pasksa.dll
SRENG日志可见异常项目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pasksa]
<WinlogonNotify: pasksa><pasksa.dll> [N/A]
==================================
文件关联
.TXT Error. [C:\windows\notepad.exe %1]
.CHM Error. ["hh.exe" %1]
.INI Error. [C:\windows\System32\NOTEPAD.EXE %1]
___________________________________________________
下面这个服务项,SRENG日志中没有;但用autoruns可以看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p79bsksb
病毒文件及其注册表项可用IceSword搞掂。文件关联可用SRENG修复。
