Name:BDS/Delf.aow.29
Entdeckt am:04/01/2007
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:1.249.280 Bytes
VDF Version:6831705c64296963f7d11a0669ffecf7
IVDF Version:6.35.01.100 - Mittwoch, 16. August 2006
Engine Version:6.35.01.101

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Delf.aow
   •  Grisoft: BackDoor.Generic3.HPD
   •  Eset: Win32/Delf.NDN
   •  Bitdefender: Backdoor.Delf.AOW


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\LSASS.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%SYSDIR%\drivers\oreans32.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.
%Verzeichnis in dem die Malware ausgeführt wurde%\_DELET~1.BAT Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"="%SYSDIR%\drivers\oreans32.sys"
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%SYSDIR%\LSASS -NetSata"
     "DisplayName"="Windows ServerNamx"
     "ObjectName"="LocalSystem"
     "Description"="%zufällige Buchstabenkombination%"

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://www.ip.newying.com/**********

Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

 Diebstahl Es wird versucht folgende Information zu klauen:
– Windows Produkt ID

– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenketten geprüft:
   • :$l
   • :.x

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • 200600227


Anti Debugging
Es wird überprüft ob folgendes Programm aktiv ist:
   • SoftIce


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • InstallShield 2000 stub

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 4. Januar 2007
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 11. Januar 2007

zurück . . . .