Descrizione completa

Nome del virus:	BDS/Delf.aow.29
Scoperto:	04/01/2007
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	1.249.280 Byte
Versione VDF:	6831705c64296963f7d11a0669ffecf7
Versione IVDF:	6.35.01.100 - mercoledì 16 agosto 2006
Versione del motore:	6.35.01.101

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Backdoor.Win32.Delf.aow
   • Grisoft: BackDoor.Generic3.HPD
   • Eset: Win32/Delf.NDN
   • Bitdefender: Backdoor.Delf.AOW

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica un file
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

File Si copia alla seguente posizione:
• %SYSDIR%\LSASS.exe

Cancella la copia di se stesso eseguita inizialmente.

Vengono creati i seguenti file:

– %SYSDIR%\drivers\oreans32.sys Viene eseguito ulteriormente dopo che è stato completamente creato.
– %directory di esecuzione del malware%\_DELET~1.BAT Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"="%SYSDIR%\drivers\oreans32.sys"
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%SYSDIR%\LSASS -NetSata"
     "DisplayName"="Windows ServerNamx"
     "ObjectName"="LocalSystem"
     "Description"="%stringa di caratteri casuale%"

Backdoor Contatta il server:
Il seguente:
• http://www.ip.newying.com/**********

Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
• :$l
• :.x

Varie Mutex:
Crea il seguente Mutex:
• 200600227

Anti debugging
Verifica se il seguente programma è in esecuzione:
• SoftIce

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• InstallShield 2000 stub

Descrizione inserita da Monica Ghitun su giovedì 4 gennaio 2007
Descrizione aggiornata da Monica Ghitun su giovedì 11 gennaio 2007

Indietro . . . .