Nome del virus:BDS/Delf.aow.29
Scoperto:04/01/2007
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:1.249.280 Byte
Versione VDF:6831705c64296963f7d11a0669ffecf7
Versione IVDF:6.35.01.100 - mercoledì 16 agosto 2006
Versione del motore:6.35.01.101

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.Delf.aow
   •  Grisoft: BackDoor.Generic3.HPD
   •  Eset: Win32/Delf.NDN
   •  Bitdefender: Backdoor.Delf.AOW


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\LSASS.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

%SYSDIR%\drivers\oreans32.sys Viene eseguito ulteriormente dopo che è stato completamente creato.
%directory di esecuzione del malware%\_DELET~1.BAT Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"="%SYSDIR%\drivers\oreans32.sys"
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"="%SYSDIR%\LSASS -NetSata"
     "DisplayName"="Windows ServerNamx"
     "ObjectName"="LocalSystem"
     "Description"="%stringa di caratteri casuale%"

 Backdoor Contatta il server:
Il seguente:
   • http://www.ip.newying.com/**********

Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • :$l
   • :.x

 Varie Mutex:
Crea il seguente Mutex:
   • 200600227


Anti debugging
Verifica se il seguente programma è in esecuzione:
   • SoftIce


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • InstallShield 2000 stub

Descrizione inserita da Monica Ghitun su giovedì 4 gennaio 2007
Descrizione aggiornata da Monica Ghitun su giovedì 11 gennaio 2007

Indietro . . . .