BDS/Delf.afu.1 - Backdoor Server

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	BDS/Delf.afu.1
Entdeckt am:	04/08/2006
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	812.544 Bytes
MD5 Prüfsumme:	e6415f4beff18e5a4f045c6c022cfb0E
VDF Version:	6.35.01.46 - Fri, 04 Aug 2006 06:39 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Upchan
   • Mcafee: Uploader-AC
   • Kaspersky: Backdoor.Win32.Delf.afu
   • TrendMicro: TSPY_SUFIAGE.G
   • Sophos: Troj/Delf-DDR
   • VirusBuster: trojan Backdoor.Delf.RSW
   • Bitdefender: Backdoor.Delf.SS

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es wird folgende Datei erstellt:

– Nicht virulente Datei:
• %home%\My Documents\My Pictures\%unbekannt% Re-birth[%aktuelles
Datum% %aktuelle Stunde%] %aktueller Benutzernamen%.jpg

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SVCHOST" = "%WINDIR%:SVCHOST.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   • "Count" = %Hexadezimale Zahl%

Folgender Registryschlüssel wird geändert:

Deaktivieren von Regedit und Task Manager:   Neuer Wert:
   • "DisableTaskMgr" = dword:00000001

Hintertür Die folgenden Ports werden geöffnet:

– %ausgeführte Datei% am TCP Port 80 um einen HTTP Server zur Verfügung zu stellen.
– %ausgeführte Datei% an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Alle der folgenden:
   • http://isp.2c**********
   • http://www.2c**********
   • http://v.isp.2c**********
   • http://tmp6.ch2.net/test/read.cgi/**********
   • http://tmp6.ch2.net/test/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels einer HTTP GET Anfrage an ein CGI Script.
Dies geschieht mittels der HTTP POST Methode unter Verwendung eines CGI Scripts.

Sende Informationen über:
    • Speichern der Bildschirmanzeige
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Besuch einer Webseite

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Mon, 07 Aug 2006 11:10 (GMT+1)
Beschreibung geändert von Daniel Constantin am Tue, 08 Aug 2006 14:03 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück