¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Proxy.Delf.CA
Descubierto:26/02/2007
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:28.833 Bytes
Suma de control MD5:916ede7e54c83f11f0f99f7e53178a3b
Versin del IVDF:6.37.01.162 - lunes 26 de febrero de 2007

 General Mtodos de propagacin:
   • Red local
   • Unidades de red mapeadas


Alias:
   •  Mcafee: W32/Fujacks
   •  Kaspersky: Worm.Win32.Delf.bd
   •  F-Secure: Worm.Win32.Delf.bd
   •  Sophos: W32/Fujacks-AU
   •  Grisoft: Worm/Delf.AEP
   •  Eset: Win32/Fujacks.O
   •  Bitdefender: Win32.Worm.Fujacks.J


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\drivers\spoclsv.exe
   • %disquetera%\setup.exe



Aade secciones a los siguientes ficheros:
– Para: %todas las carpetas%\*.htm Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

De esta manera, renombra un fichero al reiniciar el sistema.
– Para: %todas las carpetas%\*.html Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.asp Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.php Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.jsp Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.aspx Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe




Crea los siguientes ficheros:

%todas las carpetas%\Desktop_.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %fecha actual%

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://www.baidu8.org/**********/xm.txt
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro La siguiente clave del registro se encuentra en un bucle infinito, aadido para ejecutar el proceso al reiniciar el sistema.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



Modifica la siguiente clave del registro:

Varias opciones de configuracin en Explorer:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue = %configuracin definida por el usuario%
   Nuevo valor:
   • CheckedValue = 0

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Emplea la siguiente informacin de inicio de sesin para obtener el acceso al sistema remoto:

El siguiente listado de nombres de usuario:
   • Administrator
   • Guest
   • admin
   • Root

El siguiente listado de contraseas:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



Creacin de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones creadas.


Proceso de infeccin:
El fichero descargado ser guardado en el ordenador afectado, bajo el nombre: %todas las carpetas compartidas%\GameSetup.exe


Ralentizacin:
Crea el siguiente nmero de hilos de ejecucin (instancias) infectados: 9
Segn su ancho de banda, podr notar un descenso de velocidad en la red. Considerando que la actividad de este programa viral en la red es de nivel medio, es probable que ni siquiera la note si tiene una conexin de banda ancha.
Tambin se podra notar una leve ralentizacin debida a la creacin de varios hilos de ejecucin en la red.

 Finalizacin de los procesos Listado de los procesos finalizados:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Han finalizado los procesos que contienen uno de los siguientes ttulos de ventana:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Listado de los servicios desactivados:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Delphi.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • FSG

Descripción insertada por Andrei Gherman el jueves 19 de junio de 2008
Descripción actualizada por Andrei Gherman el jueves 19 de junio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.