Backdoor.Hackdefender è uno dei rootkit più diffusi. Funziona in user-mode e modifica diverse funzioni di Windows e API, che permettono quindi di nascondere file, processi, ecc.. alle altre applicazioni. Questo rootkit implementa una backdoor e un port redirector che opera attraverso le porte TCP aperte da servizi già esistenti. Ciò vuol dire che questa backdoor non è rilevabile attraverso i metodi tradizionali, tipo un portscanning remoto.

Esso consiste in 2 file, un .exe e un .ini. L'.ini va a definire i criteri che nascondono gli oggetti e come saranno nominati i vari componenti che si installeranno nel sistema. E' necessario avere privilegi di admin per far si che Hackdefender abbia successo nell'installazione (ma anche da poweruser è stata riscontrata l'infezione) e che quindi si autoinstalli come servizio che si avvia allo startup. Quando si esegue, rilascia un .sys nella stessa directory dove si trova e installa e carica il driver.

Si può notare in 2 chiavi del registro:

HKLM\SYSTEM\CurrentControlSet\Services\[nome del servizio]
HKLM\SYSTEM\CurrentControlSet\Services\[nome del driver]

(nel mio caso si chiamavano ICQUPD e ICQCHK)

Per sapere il nome del servizio o del driver che il rootkit genera, si può controllare questa info nel file .ini . Per visualizzare queste chiavi di registro il rootkit non deve essere attivo.

Nota aggiuntiva: Hackdefender aggiunge delle voci di registro che gli garantiscono l'esecuzione anche in SafeMode:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minima\[nome del servizio]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\[nome del servizio]

Per poter rimuovere il rootkit occorre rimuovere l'.exe dallo startup e le voci di registro che richiamano l'.exe e il servizio creato, poi eseguire una scansione completa del sistema con un antivirus aggiornato.