Name:TR/Proxy.Delf.AA.2
Entdeckt am:28/11/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:14.848 Bytes
MD5 Prüfsumme:399620492b3e054b84caecae975aba95
VDF Version:6.32.00.223

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Delf.aa


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine

 Dateien Es wird folgende Datei erstellt:

%Verzeichnis in dem die Malware ausgeführt wurde%\mm.pid



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://wm.kanny**********.info/cgi-bin5/repeaterm.fcgi?n=%mehrere beliebige Ziffern%&lastid=&rand=%%mehrere beliebige Ziffern%.%mehrere beliebige Ziffern%e-0001
Diese Datei enthält wahrscheinlich Email-Spam bezogene Informationen.

 Email Die Malware verfügt über eine eigene SMTP engine um Spam Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Gesammelte Adressen aus dem Internet. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.


An:
– Gesammelte Adressen aus dem Internet

 Versand Sammeln von Adressen:
Es sammelt Adressen indem folgende Webseite kontaktiert wird:
   • http://wm.kanny**********.info/cgi-bin5/repeaterm.fcgi?n=%mehrere beliebige Ziffern%&lastid=&rand=%%mehrere beliebige Ziffern%.%mehrere beliebige Ziffern%e-0001

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://wm.**********ciya.info/cgi-bin5/receiver.fcgi?id=%mehrere beliebige Ziffern%&sent=%mehrere beliebige Ziffern%&lost=&drop=&acc=

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • Aktueller Malware Status

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Iulia Diaconescu am Montag, 28. November 2005
Die Beschreibung wurde geändert von Iulia Diaconescu am Mittwoch, 7. Dezember 2005

zurück . . . .