Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Proxy.Delf.CA
La date de la dcouverte:26/02/2007
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:28.833 Octets
Somme de contrle MD5:916ede7e54c83f11f0f99f7e53178a3b
Version IVDF:6.37.01.162 - lundi 26 février 2007

 Gnral Mthodes de propagation:
   • Le rseau local
   • Mapped network drives


Les alias:
   •  Mcafee: W32/Fujacks
   •  Kaspersky: Worm.Win32.Delf.bd
   •  F-Secure: Worm.Win32.Delf.bd
   •  Sophos: W32/Fujacks-AU
   •  Grisoft: Worm/Delf.AEP
   •  Eset: Win32/Fujacks.O
   •  Bitdefender: Win32.Worm.Fujacks.J


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrt les applications de scurit
   • Il tlcharge des fichiers
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\drivers\spoclsv.exe
   • %lecteur%\setup.exe



Des sections sont ajoutes aux fichiers suivants.
– A: %tous les dossiers%\*.htm Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

Ceci renom un fichier aprs le redmarrage.
– A: %tous les dossiers%\*.html Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tous les dossiers%\*.asp Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tous les dossiers%\*.php Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tous les dossiers%\*.jsp Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tous les dossiers%\*.aspx Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe




Les fichiers suivants sont crs:

%tous les dossiers%\Desktop_.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %la date courante%

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://www.baidu8.org/**********/xm.txt
Ce fichier peut contenir d'autres emplacements de tlchargement et pourrait servir comme source de nouvelles menaces.

 Registre La cl suivante est en permanence ajoute aux registres, dans une boucle infinie, afin de lancer le processus aprs le redmarrage.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe



Les valeurs de la cl de registre suivante sont supprimes:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



La cl de registre suivante est change:

Diffrents rglages pour Explorer:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   L'ancienne valeur:
   • CheckedValue = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • CheckedValue = 0

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

La liste suivante de noms d'utilisateurs:
   • Administrator
   • Guest
   • admin
   • Root

La liste suivante de mots de passe:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



La cration des adresses IP:
Il cre des adresses IP alatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les adresses cres.


Le processus d'infection:
Le fichier tlcharg est stock sur la machine compromise comme: %tous les dossiers partags%\GameSetup.exe


Ralentissement de connexion:
Nombre d'infections dclanches: 9
Selon la largeur de votre bande passante, il est possible d'avoir une baisse de votre vitesse de rseau. Car comme l'activit rseau de ce malware est moyen il est possible qu'il ne soit pas dtecter si vous avez une connexion haut dbit.
Vous pourriez galement constater un lger ralentissement du systme d aux multiples fils d'excution crs en rseau.

 Arrt de processus: La liste des processus qui sont termins:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Les processus contenant un des titres de fentre suivants sont arrts:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


La liste des services qui sont dsactivs:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Delphi.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • FSG

Description insérée par Andrei Gherman le jeudi 19 juin 2008
Description mise à jour par Andrei Gherman le jeudi 19 juin 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.