Nume:TR/Proxy.Delf.CA
Descoperit pe data de:26/02/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:28.833 Bytes
MD5:916ede7e54c83f11f0f99f7e53178a3b
Versiune IVDF:6.37.01.162 - Montag, 26. Februar 2007

 General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Mcafee: W32/Fujacks
   •  Kaspersky: Worm.Win32.Delf.bd
   •  F-Secure: Worm.Win32.Delf.bd
   •  Sophos: W32/Fujacks-AU
   •  Grisoft: Worm/Delf.AEP
   •  Eset: Win32/Fujacks.O
   •  Bitdefender: Win32.Worm.Fujacks.J


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\drivers\spoclsv.exe
   • %unitate disc%\setup.exe



Urmatoarelor fisiere le sunt adaugate sectiuni:
– Catre: %toate directoarele%\*.htm Cu urmatorul continut:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

Aceasta redenumeste un fisier dupa repornirea sistemului.
– Catre: %toate directoarele%\*.html Cu urmatorul continut:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Catre: %toate directoarele%\*.asp Cu urmatorul continut:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Catre: %toate directoarele%\*.php Cu urmatorul continut:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Catre: %toate directoarele%\*.jsp Cu urmatorul continut:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Catre: %toate directoarele%\*.aspx Cu urmatorul continut:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe




Sunt create fisierele:

%toate directoarele%\Desktop_.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %data curenta%

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.baidu8.org/**********/xm.txt
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe



Valorile urmatoarei chei sunt sterse din registrii sistemului:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



Urmatoarea cheie din registri este modificata:

Diverse setari in Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Vechea valoare:
   • CheckedValue = %setarile utilizatorului%
   Noua valoare:
   • CheckedValue = 0

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • Administrator
   • Guest
   • admin
   • Root

– Lista de parole:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



Generarea adreselor IP:
Genereaza adrese IP aleatoare, pastrand doar primii trei octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Fisierul descarcat este salvat pe masina infectata, cu numele: %toate directoarele share%\GameSetup.exe


Reducerea vitezei:
– Numarul de infectii declansate: 9
– In functie de largimea benzii, puteti observa o cadere in viteza retelei. Acest malware are o activitate medie in retea, pe care e posibil sa nu o remarcati in cazul conectarii broadband.
– Este posibila si o usoara incetinire a sistemului, datorita accesarilor multiple in retea.

 Terminarea proceselor Lista cu procesele oprite:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Sunt inchise procesele care au titlul ferestri unul din urmatoarele:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Lista cu serviciile dezactivate:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG

Die Beschreibung wurde erstellt von Andrei Gherman am Donnerstag, 19. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 19. Juni 2008

zurück . . . .