Nume:BDS/Delf.aow.29
Descoperit pe data de:04/01/2007
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:1.249.280 Bytes
Versiune VDF:6831705c64296963f7d11a0669ffecf7
Versiune IVDF:6.35.01.100 - Mittwoch, 16. August 2006
Versiune motor de scanare:6.35.01.101

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Backdoor.Win32.Delf.aow
   •  Grisoft: BackDoor.Generic3.HPD
   •  Eset: Win32/Delf.NDN
   •  Bitdefender: Backdoor.Delf.AOW


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\LSASS.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\drivers\oreans32.sys Fisierul este executat dupa ce a fost creat.
%directorul de activare malware%\_DELET~1.BAT Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"="%SYSDIR%\drivers\oreans32.sys"
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%SYSDIR%\LSASS -NetSata"
     "DisplayName"="Windows ServerNamx"
     "ObjectName"="LocalSystem"
     "Description"="%combinatie de caractere aleatoare%"

 Backdoor Servere contactate:
Urmatorul:
   • http://www.ip.newying.com/**********

Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Windows Product ID

– Monitorizeaza reteaua folosind un sniffer si cauta urmatoarele siruri de caractere:
   • :$l
   • :.x

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • 200600227


Metode anti-debugging
Verifica daca ruleaza urmatorul program:
   • SoftIce


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • InstallShield 2000 stub

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 4. Januar 2007
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 11. Januar 2007

zurück . . . .