Resumo

Tipo Trojan [Backdoor]
Aliases
  • Backdoor.HackDefender (Symantec)
  • Backdoor.HackerDefender (McAfee)
  • Backdoor.HacDef (Kaspersky)
Sistemas Afetados
  • Windows NT4
  • Windows 2000
  • Windows XP
Tamanho Irrelevante
Dano Backdoor
Remoção Difícil
Notas Apesar de ser um backdoor, é impossível detectá-lo com um firewall sem verificar os pacotes

Descrição

Hacker Defender é um backdoor que infecta somente sistemas baseados na arquitetura do Windows NT.

O Hacker Defender não só possui um backdoor, como também uma função de se esconder do sistema. Você não pode ver o Hacker Defender rodando através do Gerenciador de Tarefas, tão pouco no registro do Windows.

Ele faz isso de tal forma que nem mesmo um firewall poderá identificar a
porta em que ele roda. Na verdade, ele usa outros programas para fazer a conexão. Por exemplo, o seu servidor web está recebendo as instruções do Hacker Defender (que passará pelo firewall), porém após disso as instruções são interpretadas pelo Hacker Defender e não pelo servidor. Por este motivo, a única maneira é verificar o suposto pacote que o seu servidor deveria receber para ver que ele não é um pacote comum do HTTP. Note que isso é um exemplo, pois o Hacker Defender pode usar virtualmente qualquer porta nesse sentido.

Infecção

O Hacker Defender, por ser um trojan, não pode se espalhar sozinho. É necessário que você baixe um arquivo infectado com um programa que vai instalá-lo no seu computador.

O arquivo e a pasta que serão infectados são totalmente escolhidas pela pessoa que vai infectá-lo. Não há qualquer restrição: pode ser diretamente na raiz do C: como no %WINDIR%system32, que é o mais comum. O nome do arquivo e a chave do registro são igualmente variáveis.

O Hacker Defender é controlado com um arquivo .ini. Se você conseguir encontrar esse arquivo, você poderá saber onde ele está, mas o mais importante: saberá o nome do serviço pelo qual ele roda.

Detalhes Técnicos

O Hacker Defender se esconde ligando-se em várias APIs do Windows e proibindo-as de mostrar a sua existência. Uma das APIs que não é monitorada é a que é chamada pelo comando CD do Prompt de Comando. Através dele, é possível ir até a pasta ou reconhecer os arquivos do Hacker Defender via tentativa e erro.

Constantemente você verá o Hacker Defender criptografado com Morphine, o que fará com que a maioria dos Anti-Vírus não o detectem.

O Hacker Defender é programado em Delphi e não existe qualquer possibilidade dele funcionar em Windows 9x/ME.

Carga Maliciosa

Devido ao fato do Hacker Defender possuir um backdoor, é impossível dizer o que irá acontecer com seu computador. O Hacker Defender consegue capturar suas senhas, instalar mais programas maliciosos e outras coisas. Tudo depende da boa vontade da pessoa que infectou o seu computador.

Recomendações

É recomendado que você, caso detecte esse trojan em seu computador, peça suporte à sua companhia de anti-vírus.

Para evitar o Hacker Defender:

  • Atualize o Windows
  • Rode o sistema com uma conta de usuário comum e não como Administrador
  • Evite baixar programas de sites duvidosos e programas P2P

Alertas

Foi visto um worm se espalhando pela vulnerabilidade do LSASS que instala o Backdoor. Se você ainda não aplicou o patch, rode o Windows Update agora mesmo!

Remoção

Ferramentas de Remoção

Remoção Manual

A remoção do Hacker Defender é quase impossível. Você possui uma pequena chance de conseguir ver o arquivo .ini que configura o trojan. Desse modo, você poderá ver o nome do serviço com que ele se instala. Assim será possível digitar o seguinte em um prompt de commando:

net stop <nome do serviço>

Isso fará com que o Hacker Defender seja parado. Nesse momento, o trojan acionará sua rotina de desinstalação automática sem mais nenhuma ação necessária.

Isso parece fácil. O problema é achar o nome do serviço. É recomendado que você peça ajuda à equipe de suporte do seu Anti-Vírus para encontrar o nome do serviço. Se quiser tentar você mesmo, existe alguns modos:

  1. Detectores de Rootkit
  2. Console de Recuperação
  3. CD inicializável Bart PE

O modo mais fácil é com detectores de rootkit. Eles poderão determinar o nome do serviço que o Hacker Defender roda, sendo necessário apeneas o net stop <nome do serviço> para se livrar da infecção.

O console de recuperação pode ser acessado digitando F8 ao iniciar o sistema selecionando Console de Recuperação no menu. Lá você geralmente terá que procurar o executável do Hacker Defender na mão.

Nos CDs inicializáveis do Bart PE é possível colocar um Anti-Vírus, o que facilita muito a busca pelo serviço do Hacker Defender. Embora os Anti-Vírus não consigam, em sua maioria, detectar o executável principal do Hacker Defender, existem dois arquivos que eles detectam. Sabendo este, você poderá procurar pelo arquivo .ini que contém o nome do serviço do Hacker Defender. Adicionalmente, você pode dar uma olhada no registro, já que o Hacker Defender não estará rodando para esconder as suas chaves.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website