Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Delf.spu
Entdeckt am:21/02/2010
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:144.384 Bytes
MD5 Prfsumme:3be1031ad44efb92061d9ac9790968ad
IVDF Version:7.10.04.107 - Samstag, 20. Februar 2010

 General Aliases:
   •  Panda: Trj/KillAV.NB
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.3536156


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\wmiscvr.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.




Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://rix.messenger-update.su/**********




Es versucht folgende Dateien auszufhren:

Dateiname:
   • ipconfig /flushdns


Dateiname:
   • CMD /C net stop K7RTScan


Dateiname:
   • CMD /C sc stop K7RTScan


Dateiname:
   • net stop K7RTScan


Dateiname:
   • "%SYSDIR%\wmiscvr.exe"


Dateiname:
   • sc stop K7RTScan


Dateiname:
   • net1 stop K7RTScan

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Die Werte der folgenden Registry keys werden gelscht:

–  [HKLM\SECURITY\RXACT]
   • Log

–  [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot



Um die Windows XP Firewall zu umgehen werden folgende Eintrge erstellt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmiscvr.exe"="%SYSDIR%\wmiscvr.exe:*:Enabled:DHCP Router"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmiscvr.exe"="%SYSDIR%\wmiscvr.exe:*:Enabled:DHCP Router"



Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmiscvr.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmiscvr.exe"="DisableNXShowUI"



Folgende Registryschlssel werden gendert:

[HKLM\SECURITY\Policy\Secrets\SAC\CupdTime]
   Neuer Wert:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\CupdTime]
   Neuer Wert:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\OldVal]
   Neuer Wert:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\OupdTime]
   Neuer Wert:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\CurrVal]
   Neuer Wert:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\CurrVal]
   Neuer Wert:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\OldVal]
   Neuer Wert:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\OupdTime]
   Neuer Wert:
   • "@"=""

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 21. Mai 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 21. Mai 2010

zurück . . . .