Nom:TR/Spy.Delf.ig.13.A
La date de la découverte:14/12/2005
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:14.848 Octets
Somme de contrôle MD5:85be766a7d8e147ffb6588b669166754
Version VDF:6.33.00.25

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Mcafee: Spam-Maxy
   •  Kaspersky: Trojan-Proxy.Win32.Delf.an


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il crée un fichier
   • Il emploie son propre moteur de courrier électronique

 Fichiers Le fichier suivant est créé:

– Fichier inoffensif:
   • %le dossier d'exécution du malware%\mm.pid

 Email Il contient un moteur SMTP intégré pour envoyer des emails SPAM. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.
Adresses recueillies sur Internet. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il se pourrait qu'il ignore être infecté comme il pourrait ne pas l'être du tout. En outre il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Adresses recueillies de l'Internet.

 Envoie de messages Recueillir des adresses:
Il recueille des adresses en entrant en contact avec le site web suivant:
   • wm.kom**********ka.info/cgi-bin5/repeater3.fcgi

 Porte dérobée Serveur de contact:
Tous les suivants:
   • wm.kom**********ka.info/cgi-bin5/repeater3.fcgi
   • wm.kom**********ka.info/cgi-bin5/receiver.fcgi

En conséquence il peut envoyer de l'information et fournir d'accès à distance. En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.


Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Envoyer des e-mails
    • Relié au Spam

 Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • Portions Copyright (c) 1999,2003 Avenger by NhT

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Daniel Constantin le lundi 9 janvier 2006
Description mise à jour par Daniel Constantin le lundi 9 janvier 2006

Retour . . . .