BDS/Delf.CO.13 - Backdoor Server

A voir aussi

Brève description

Description complète

Statistiques

Nom:	BDS/Delf.CO.13
La date de la découverte:	04/08/2006
Type:	Serveur porte dérobée
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	760.320 Octets
Somme de contrôle MD5:	0756d255c3bae4a5b691bc1c1e22a49b
Version VDF:	6.35.01.46
Version IVDF:	6.35.01.46

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation
   • Kaspersky: Backdoor.Win32.Delf.co
   • Bitdefender: Backdoor.Delf.CO

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers
   • Il télécharge des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\PViever\pviever.exe

Il crée le répertoire suivant:
   • %PROGRAM FILES%\PViever\

Le fichier suivant est créé:

– %PROGRAM FILES%\PViever\uin.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %la date courante%%nombre%

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "PViever"=""%PROGRAM FILES%\PViever\pviever.exe" hide"

Les clés de registre suivantes sont ajoutée:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent\Post Platform
   • "(Default)"=""

– HKLM\SOFTWARE\Surf
   • "mhost"=
   • "uin"=%la date courante%%nombre%

Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
   L'ancienne valeur:
   • "www"="http://"
   La nouvelle valeur:
   • "www"="http://htpp.ws?"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
   L'ancienne valeur:
   • "(Default)"="http://"
   La nouvelle valeur:
   • "(Default)"="http://htpp.ws?"

Porte dérobée Serveur de contact:
Un des suivants::
   • http://neo**********
   • http://super**********
   • http://htp**********
   • http://xe**********
   • http://mirax.spb.ru**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. En plus, il répète la connexion périodiquement. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Voir la description brève ici.

Description inséré par Teodor Onisor sur Mon, 07 Aug 2006 13:45 (GMT+1)
Description mise à jour par Teodor Onisor sur Tue, 08 Aug 2006 09:29 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour