English
Deutsch
Francais
Español
Italian
Home
Minacce
TR/Spy.Delf.MQ.2
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/Spy.Delf.MQ.2 - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
TR/Spy.Delf.MQ.2
Scoperto:
12/01/2006
Tipo:
Trojan
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
33.280 Byte
Somma di controllo MD5:
f15ade3360bb6bd5dc08ac179cdaef49
Versione VDF:
6.33.00.114
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Kaspersky: Trojan-Spy.Win32.Delf.mq
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Blocca l'accesso a siti web di sicurezza
• Scarica un file
• Modifica del registro
• Sottrae informazioni
File
Si copia alle seguenti posizioni:
• c:\window\system32\system.exe
•
%SYSDIR%
\tmp.bak
Prova a scaricare un file:
– La posizione è la seguente:
• http://www.**********ucts-gold.net/vers.ini
Viene salvato in locale sotto: c:\tmp.ini Utilizza questo contenuto per modificare l'host del file.
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• System service =
%SYSDIR%
\system.exe
Viene cambiata la seguente chiave di registro:
Pagina iniziale di Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
Valore precedente:
• Start Page =
%impostazioni definite dell'utente%
Nuovo valore:
• Start Page = http://drc-group.net/vakantn.htm
Host
L'host del file viene modificato come spiegato:
– In questo caso i dati immessi già esistenti vengono cancellati.
– L'accesso ai seguenti domini è effettivamente bloccato:
• ad.doubleclick.net; ad.fastclick.net; ads.fastclick.net;
ar.atwola.com; atdmt.com; avp.ch; avp.com; avp.com; avp.ru; awaps.net;
banner.fastclick.net; banners.fastclick.net; ca.com; ca.com;
click.atdmt.com; clicks.atdmt.com; customer.symantec.com;
dispatch.mcafee.com; dispatch.mcafee.com; download.mcafee.com;
download.mcafee.com; download.mcafee.com; download.microsoft.com;
downloads.microsoft.com; downloads1.kaspersky-labs.com;
downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.com/updates;
downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
downloads4.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
downloads-us2.kaspersky-labs.com; downloads-us3.kaspersky-labs.com;
engine.awaps.net; fastclick.net; f-secure.com; f-secure.com;
ftp.avp.ch; ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
ftp.kasperskylab.ru; ftp.sophos.com; go.microsoft.com;
ids.kaspersky-labs.com; kaspersky.com; kaspersky-labs.com;
liveupdate.symantec.com; liveupdate.symantec.com;
liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
liveupdate.symantecliveupdate.com; mast.mcafee.com; mast.mcafee.com;
mcafee.com; mcafee.com; media.fastclick.net; msdn.microsoft.com;
my-etrust.com; my-etrust.com; nai.com; nai.com; networkassociates.com;
networkassociates.com; office.microsoft.com; phx.corporate-ir.net;
rads.mcafee.com; secure.nai.com; secure.nai.com;
securityresponse.symantec.com; securityresponse.symantec.com;
service1.symantec.com; sophos.com; sophos.com; spd.atdmt.com;
support.microsoft.com; symantec.com; symantec.com; trendmicro.com;
update.symantec.com; update.symantec.com; update.symantec.com;
updates.symantec.com; updates.symantec.com;
updates1.kaspersky-labs.com; updates1.kaspersky-labs.com;
updates2.kaspersky-labs.com; updates3.kaspersky-labs.com;
updates3.kaspersky-labs.com/updates; updates4.kaspersky-labs.com;
updates5.kaspersky-labs.com; us.mcafee.com; us.mcafee.com;
vil.nai.com; viruslist.com; viruslist.ru; windowsupdate.microsoft.com;
www.avp.ch; avp.com; www.avp.com; www.avp.ru; www.awaps.net; ca.com;
www.ca.com; www.fastclick.net; www.f-secure.com; www.f-secure.com;
www.grisoft.com; www.kaspersky.com; www.kaspersky.ru; kaspersky.ru;
www.kaspersky-labs.com; www.mcafee.com; www.mcafee.com;
www.my-etrust.com; www.my-etrust.com; www.nai.com; www.nai.com;
www.networkassociates.com; www.networkassociates.com; www.sophos.com;
www.sophos.com; www.symantec.com; www.symantec.com;
www.trendmicro.com; www.trendmicro.com; www.viruslist.com;
www.viruslist.ru; www3.ca.com
– L'accesso ai seguenti domini è reindirizzato ad altre destinazioni:
• www.bankone.com; bankone.com; halifax.com; www.halifax.com;
halifax.co.uk; www.halifax.co.uk; www.bankofamerica.com;
bankofamerica.com; www.paypal.com; paypal.com; www.lloydstsb.com;
lloydstsb.com; www.lloydstsb.co.uk; lloydstsb.co.uk; www.bbvanet.com;
bbvanet.com; www.bancopostaonline.poste.it; bancopostaonline.poste.it;
www.poste.it; poste.it; www.credem.it; credem.it; www.creval.it;
creval.it; www.gruppocarige.it; gruppocarige.it; www.rasbank.it;
rasbank.it; www.bancagenerali.it; bancagenerali.it;
www.garanti.com.tr; garanti.com.tr; www.kocbank.com.tr;
kocbank.com.tr; www.disbank.com.tr; disbank.com.tr;
www.cassarimini.it; cassarimini.it; www.unicredit.it; unicredit.it;
www.chase.com; chase.com; www.southtrust.com; southtrust.com;
www.wachovia.com; wachovia.com; www.wellsfargo.com; wellsfargo.com;
www.barclays.co.uk; barclays.co.uk; www.barclays.com; barclays.com;
www.barclays.pt; barclays.pt; www.barclays.pt; barclays.pt;
online.cassarimini.it; www.bancacarim.it; bancacarim.it; www.citi.com;
citi.com; www.citibank.com; citibank.com; www.etrade.com; etrade.com;
www.neteller.com; neteller.com; tcfbank.com; www.tcfbank.com;
hsbc.com; www.hsbc.com; hsbc.co.uk; www.hsbc.co.uk
L'host del file modificato sarà del tipo:
Backdoor
Viene aperta la seguente porta:
– sys32.exe sulla porta TCP 3398 con lo scopo di procurarsi un server proxy Socks 5.
Contatta il server:
Il seguente:
• http://216.32.94.**********/log/inf.php
Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.
Invia informazioni riguardanti:
• Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
Sottrazione di informazioni
Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts
– La password dal seguente programma:
• The Bat
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Delphi.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Andrei Gherman il Fri, 13 Jan 2006 10:10 (GMT+1)
Descrizione aggiornata da Andrei Ivanes il Sat, 14 Jan 2006 03:57 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
Worm/Bagle.FJ
Worm/Mytob.AD
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.AP
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
© 2009 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce TR/Spy.Delf.MQ.2
Stampa questa pagina
