Name:TR/Drop.Delf.YX
Entdeckt am:04/01/2007
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:109.056 Bytes
MD5 Prüfsumme:7084ec1ce75b6a3521df3e224d5421c7
VDF Version:6.35.01.100
IVDF Version:6.35.01.101

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Dropper.Win32.Delf.yx
   •  Sophos: Troj/Delf-DKS
   •  Grisoft: Dropper.Generic.GKO
   •  Eset: Win32/TrojanDropper.Delf.YX
   •  Bitdefender: Trojan.Downloader.Delf.ST


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

%SYSDIR%\_LoadPlugin.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Delphi.Downloader.Gen

%SYSDIR%\LoadPlugin.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Delphi.Downloader.Gen

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIPBOARD]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ClipBoard\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIPBOARD\0000]
   • "Service"="ClipBoard"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="ClipBoard"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIPBOARD\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="ClipBoard"

– [HKLM\SYSTEM\CurrentControlSet\Services\ClipBoard]
   • "Type"=dword:00000010
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"="%SYSDIR%\LoadPlugin.exe"
     "DisplayName"="ClipBoard"
     "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\ClipBoard\Enum]
   • "0"="Root\\LEGACY_CLIPBOARD\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • ASPack 2.12

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 4. Januar 2007
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 11. Januar 2007

zurück . . . .