Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Proxy.Delf.CA
La date de la découverte:26/02/2007
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:28.833 Octets
Somme de contrôle MD5:916ede7e54c83f11f0f99f7e53178a3b
Version IVDF:6.37.01.162 - lundi 26 février 2007

 Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives


Les alias:
   •  Mcafee: W32/Fujacks
   •  Kaspersky: Worm.Win32.Delf.bd
   •  F-Secure: Worm.Win32.Delf.bd
   •  Sophos: W32/Fujacks-AU
   •  Grisoft: Worm/Delf.AEP
   •  Eset: Win32/Fujacks.O
   •  Bitdefender: Win32.Worm.Fujacks.J


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\drivers\spoclsv.exe
   • %lecteur%\setup.exe



Des sections sont ajoutées aux fichiers suivants.
– A: %tous les dossiers%\*.htm Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

Ceci renom un fichier après le redémarrage.
– A: %tous les dossiers%\*.html Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tous les dossiers%\*.asp Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tous les dossiers%\*.php Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tous les dossiers%\*.jsp Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tous les dossiers%\*.aspx Avec le contenu suivant:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe




Les fichiers suivants sont créés:

%tous les dossiers%\Desktop_.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %la date courante%

%lecteur%\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://www.baidu8.org/**********/xm.txt
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe



Les valeurs de la clé de registre suivante sont supprimées:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



La clé de registre suivante est changée:

Différents réglages pour Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   L'ancienne valeur:
   • CheckedValue = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • CheckedValue = 0

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • Administrator
   • Guest
   • admin
   • Root

– La liste suivante de mots de passe:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



La création des adresses IP:
Il crée des adresses IP aléatoires, en utilisant seulement les premiers trois octets de sa propre adresse. Ensuite il essaye de contacter les adresses crées.


Le processus d'infection:
Le fichier téléchargé est stocké sur la machine compromise comme: %tous les dossiers partagés%\GameSetup.exe


Ralentissement de connexion:
– Nombre d'infections déclanchées: 9
– Selon la largeur de votre bande passante, il est possible d'avoir une baisse de votre vitesse de réseau. Car comme l'activité réseau de ce malware est moyen il est possible qu'il ne soit pas détecter si vous avez une connexion à haut débit.
– Vous pourriez également constater un léger ralentissement du système dû aux multiples fils d'exécution créés en réseau.

 Arrêt de processus: La liste des processus qui sont terminés:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


La liste des services qui sont désactivés:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Andrei Gherman le jeudi 19 juin 2008
Description mise à jour par Andrei Gherman le jeudi 19 juin 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.