Nome del virus:TR/Spy.Delf.BEW
Scoperto:13/03/2008
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:325.120 Byte
Somma di controllo MD5:2c17a4990A97701d2c07e61796aa5b6c
Versione IVDF:7.00.03.27 - venerdì 14 marzo 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\system.exe

 Registro Viene aggiunta la seguente chiave di registro:

– [HKCU\sRegPolicies+\Explorer]
   • NoChangeStartMenu = 1
   • NoClose = 1
   • NoLogOff = 1



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • Shell = Explorer.exe
   Nuovo valore:
   • Shell = Explorer.exe %WINDIR%\system.exe

Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuovo valore:
   • DisableTaskMgr = 1

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • Start = %impostazioni definite dell'utente%
   Nuovo valore:
   • Start = 4

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://inovus.com.pt/**********/help_data.php
   • http://love.ladyzhin.biz/inc/**********/help_data.php
   • http://www.ht-o.de/hto/administrator/**********/help_data.php
   • http://perso146-g5.free.fr/**********/help_data.php
   • http://mambembricantes.com/**********/read_table.php
   • http://salvadorcapitano.com.ar/**********/read_table.php

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su venerdì 14 marzo 2008
Descrizione aggiornata da Andrei Gherman su venerdì 14 marzo 2008

Indietro . . . .