[Malware] Backdoor.Hacdef.084 infectie

Dit bericht was oorspronkelijk een reply op ander topic. Het topic gaat over een trojan die de laatste weken hier en daar opduikt en heel lastig te verwijderen is. Deze trojan maakt gebruik van een Rootkit die vrij beschikbaar is en dus door meer virussen en trojans gebruikt kan gaat worden.
Link: [rml][ XP + Malware] IRC.Trojan detected, niet gevonden in map *[/rml]

Oorspronkelijke bericht:
Is het perse nodig om de pc opnieuw te installeren? Ik heb hier nu ook een pc staan met dezelfde trojan erin. Ik heb hem met de hand kunnen verwijderen vanuit de command-prompt. Dit lukte omdat er FAT32 op de systeempartitie staat (althans ik heb gelezen dat dit truukje niet werkt bij een NTFS geformateerde partitie, dan kun je de files ook niet zien met de command-prompt).
Ik heb dus de files verwijdert en na de herstart komen er dan een aantal files tevoorschijn:
dordo.sys
dorod.ini
dorod.exe

Bij de jotti online virusscan herkent slechts de helft van de antivirusscanners hem als een bedreiging:
Backdoor.Hacdef.084
http://www3.ca.com/securi...sinfo/virus.aspx?ID=38058

Dit is dus de rootkit die gebruikt word door deze trojan. Deze rootkit is gewoon van het internet te halen en de source van sommige versies is ook beschikbaar.
Ik kan alleen nergens vinden hoe ik deze rootkit met de hand kan verwijderen.

Ik kan nu wel de bestanden allemaal verwijderen maar is hij dan ook echt weg? Of zie ik hem dan alleen niet meer?

[ Voor 16% gewijzigd door Verwijderd op 29-05-2004 11:37 ]

Verwijder ze, herstart je systeem. Gebruik dan de windows search. Als windows search ze niet vind, neem ik aan dat het ook echt weg is.

Tsja, met een rootkit zou ik het risico niet willen nemen om met de betreffende installatie verder te gaan.... rootkits zijn gewoon grote ellende imho.

Persoonlijk zou ik dus voor een herinstallatie gaan....

Plaats de inhoud van de ini eens?

Heb je het "Stealth" gedeelte wel gelezen bij de write-up?

Doordat rootkits zich zo goed kunnen stealthen is een format noodzaak.
Je weet immers nooit zeker of je alle componenten wel hebt verwijderd..

Weer wat geleerd.

@Gabe Newell:
De trojan die er in eerste instantie opzat was compleet onzichbaar. Je kon hem niet vinden met de verkenner en niet met de search. Alleen als je de naam wist kon je er met de commandprompt bij en ik heb gelezen dat dit alleen zo is op Fat32 geformateerde schijven. Dit effect is bereikt met deze rootkit dus ik weet met de search niet zeker of hij weg is.

@wildhagen:
Er is wel gewoon source code beschikbaar van de maker van de rootkit dus in principe zou iemand die er verstand van heeft precies kunnen zien wat het ding allemaal doet

@Schouw:
Dit is de rootkit die bij het virus van het oorspronkelijke topic hoort. Dus ik neem aan dat deze door het virus geinstalleerd is. De rootkit installeerd zichzelf niet volgens de beschrijvingen op internet. Dus dat moet door een ander programma gedaan zijn of iemand die de source aangepast heeft.
Het virus waar het eigenlijk om ging verspreid zichzelf vermoedelijk via een van de RPC gaten in windows. Volgens mij was deze gepatched voor het eerste gat (die van blaster) maar niet voor de tweede.

@RazorHead:
Ik heb de entries onder de Hidden Table weggehaald en weet ook niet meer wat er stond. Hier is de rest als je denkt dat je er iets mee kan:
[HIdden Table]

[RooT PrOcesses]
f0r0r
temp
dorod*

[HiDden SerVices]
HackerDefender*

[HiDDen RegKEys]
HackerDefender100
LEGACY_HACKERDEFENDER100
HackerDefenderDrv100
LEGACY_HACKERDEFENDERDRV100

[HIDden REGValues]

[StARTup Run]

[FrEE Space]

[HiDDen Ports]

[SETtings]
Password=dordo--
BackdoorShell=ccc.exe
FileMappingName=dordodesc
ServiceName=dordo
ServiceDisplayName=dordo Service
ServiceDescription=gl gl
DriverName=dordodrv
DriverFileName=dordo.sys

Verwijderd schreef op 29 mei 2004 @ 11:45:

@wildhagen:
Er is wel gewoon source code beschikbaar van de maker van de rootkit dus in principe zou iemand die er verstand van heeft precies kunnen zien wat het ding allemaal doet

Ja, maar aangezien het dus opensource is, kan iedereen dus een eigen variant schrijven die zich heel anders gedraagd dan het origineel, van die sourcecode. En dan weet je dus opeens niet meer wat het ding allemaal doet.

Oeps...

Ja daar zit wat in. Maar zouden de antivirusscanners hem dan ook als die Backdoor herkent hebben?

Edit:
Ik zit trouwens te lezen in de readme.txt van de backdoor en daarin staat dat het pas opensource word vanaf versie 1.0.0 dus van versie 0.8.4 is geen source beschikbaar. Alleen van versie 1.0.0 is source beschikbaar.
Er staan wel uninstall instructies in de readme maar je weet het dan natuurlijk nog steeds niet zeker.

[ Voor 78% gewijzigd door Verwijderd op 29-05-2004 12:49 ]