Nombre:TR/Click.Delf.FZ.1
Descubierto:14/09/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:698.368 Bytes
Suma de control MD5:437bbd6423473942fb097febadf18af8
Versión del VDF:6.36.00.07
Versión del IVDF:6.36.00.17 - viernes 15 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.Delf.fz
   •  TrendMicro: TROJ_DELF.CRL
   •  F-Secure: Trojan-Clicker.Win32.Delf.fz
   •  Grisoft: Clicker.CWH


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %PROGRAM FILES%\PViever\pviever.exe



Crea la siguiente carpeta:
   • %PROGRAM FILES%\PViever



Crea el siguiente fichero:

%PROGRAM FILES%\PViever\uin.txt

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "PViever"=""%PROGRAM FILES%\PViever\pviever.exe" hide"



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent\Post Platform]
   • @=""

– [HKCU\Software\Microsoft\Internet Explorer\International\CpMRU]
   • "Enable"=dword:00000001
   • "Size"=dword:0000000a
   • "InitHits"=dword:00000064
   • "Factor"=dword:00000014



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
   Valor anterior:
   • @="http://"
   Nuevo valor:
   • @="http://htpp.ws?"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes]
   Valor anterior:
   • "www"="http://"
   Nuevo valor:
   • "www"="http://htpp.ws?"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • neosap.ru/surf/**********
   • super-tds.info/surf/**********
   • htpp.ws/surf/**********
   • xep.ru/surf/**********

De esta forma obtiene el control remoto. Además, rehace la conexión periódicamente.

Capabilidades de control remoto:
    • Visitar un sitio web

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Adriana Popa el miércoles 27 de septiembre de 2006
Descripción actualizada por Adriana Popa el miércoles 27 de septiembre de 2006

Volver . . . .