Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Delf.spu
Scoperto:21/02/2010
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:144.384 Byte
Somma di controllo MD5:3be1031ad44efb92061d9ac9790968ad
Versione IVDF:7.10.04.107 - sabato 20 febbraio 2010

 Generale Alias:
   •  Panda: Trj/KillAV.NB
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.3536156


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno
   • Duplica file maligni
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %SYSDIR%\wmiscvr.exe



Cancella la copia di se stesso eseguita inizialmente.




Prova a scaricare un file:

La posizione la seguente:
   • http://rix.messenger-update.su/**********




Prova ad eseguire i seguenti file:

Nome del file:
   • ipconfig /flushdns


Nome del file:
   • CMD /C net stop K7RTScan


Nome del file:
   • CMD /C sc stop K7RTScan


Nome del file:
   • net stop K7RTScan


Nome del file:
   • "%SYSDIR%\wmiscvr.exe"


Nome del file:
   • sc stop K7RTScan


Nome del file:
   • net1 stop K7RTScan

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKLM\SECURITY\RXACT]
   • Log

–  [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot



Crea le seguenti righe con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmiscvr.exe"="%SYSDIR%\wmiscvr.exe:*:Enabled:DHCP Router"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmiscvr.exe"="%SYSDIR%\wmiscvr.exe:*:Enabled:DHCP Router"



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmiscvr.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmiscvr.exe"="DisableNXShowUI"



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SECURITY\Policy\Secrets\SAC\CupdTime]
   Nuovo valore:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\CupdTime]
   Nuovo valore:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\OldVal]
   Nuovo valore:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\OupdTime]
   Nuovo valore:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\CurrVal]
   Nuovo valore:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\CurrVal]
   Nuovo valore:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\OldVal]
   Nuovo valore:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\OupdTime]
   Nuovo valore:
   • "@"=""

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 21 maggio 2010
Descrizione aggiornata da Petre Galan su venerdì 21 maggio 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.