¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Proxy.Delf.CA
Descubierto:26/02/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:28.833 Bytes
Suma de control MD5:916ede7e54c83f11f0f99f7e53178a3b
Versión del IVDF:6.37.01.162 - lunes, 26 de febrero de 2007

 General Métodos de propagación:
   • Red local
   • Unidades de red mapeadas


Alias:
   •  Mcafee: W32/Fujacks
   •  Kaspersky: Worm.Win32.Delf.bd
   •  F-Secure: Worm.Win32.Delf.bd
   •  Sophos: W32/Fujacks-AU
   •  Grisoft: Worm/Delf.AEP
   •  Eset: Win32/Fujacks.O
   •  Bitdefender: Win32.Worm.Fujacks.J


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\drivers\spoclsv.exe
   • %disquetera%\setup.exe



Añade secciones a los siguientes ficheros:
– Para: %todas las carpetas%\*.htm Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

De esta manera, renombra un fichero al reiniciar el sistema.
– Para: %todas las carpetas%\*.html Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.asp Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.php Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.jsp Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.aspx Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe




Crea los siguientes ficheros:

%todas las carpetas%\Desktop_.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %fecha actual%

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.baidu8.org/**********/xm.txt
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



Modifica la siguiente clave del registro:

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue = %configuración definida por el usuario%
   Nuevo valor:
   • CheckedValue = 0

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • Administrator
   • Guest
   • admin
   • Root

– El siguiente listado de contraseñas:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.


Proceso de infección:
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: %todas las carpetas compartidas%\GameSetup.exe


Ralentización:
– Crea el siguiente número de hilos de ejecución (instancias) infectados: 9
– Según su ancho de banda, podrá notar un descenso de velocidad en la red. Considerando que la actividad de este programa viral en la red es de nivel medio, es probable que ni siquiera la note si tiene una conexión de banda ancha.
– También se podría notar una leve ralentización debida a la creación de varios hilos de ejecución en la red.

 Finalización de los procesos Listado de los procesos finalizados:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Han finalizado los procesos que contienen uno de los siguientes títulos de ventana:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Listado de los servicios desactivados:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG

Descripción insertada por Andrei Gherman el jueves, 19 de junio de 2008
Descripción actualizada por Andrei Gherman el jueves, 19 de junio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.