Nom:BDS/Delf.aow.29
La date de la découverte:04/01/2007
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:1.249.280 Octets
Version VDF:6831705c64296963f7d11a0669ffecf7
Version IVDF:6.35.01.100 - mercredi 16 août 2006
Version du moteur de scan:6.35.01.101

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Backdoor.Win32.Delf.aow
   •  Grisoft: BackDoor.Generic3.HPD
   •  Eset: Win32/Delf.NDN
   •  Bitdefender: Backdoor.Delf.AOW


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\LSASS.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\drivers\oreans32.sys Ensuite, il est exécuté après avoir été completment crée.
%le dossier d'exécution du malware%\_DELET~1.BAT Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"="%SYSDIR%\drivers\oreans32.sys"
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%SYSDIR%\LSASS -NetSata"
     "DisplayName"="Windows ServerNamx"
     "ObjectName"="LocalSystem"
     "Description"="%chaîne de caractères aléatoire%"

 Porte dérobée Serveur de contact:
Le suivant:
   • http://www.ip.newying.com/**********

Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

 Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows

– il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • :$l
   • :.x

 Informations divers Mutex:
Il crée le Mutex suivant:
   • 200600227


Anti debugging
Il vérifie si le programme suivant est en exécution:
   • SoftIce


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • InstallShield 2000 stub

Description insérée par Monica Ghitun le jeudi 4 janvier 2007
Description mise à jour par Monica Ghitun le jeudi 11 janvier 2007

Retour . . . .