BDS/Delf.CO.13 - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Delf.CO.13
Scoperto:	04/08/2006
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	760.320 Byte
Somma di controllo MD5:	0756d255c3bae4a5b691bc1c1e22a49b
Versione VDF:	6.35.01.46
Versione IVDF:	6.35.01.46

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione
   • Kaspersky: Backdoor.Win32.Delf.co
   • Bitdefender: Backdoor.Delf.CO

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file
   • Scarica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
   • %PROGRAM FILES%\PViever\pviever.exe

Crea la seguente directory:
   • %PROGRAM FILES%\PViever\

Viene creato il seguente file:

– %PROGRAM FILES%\PViever\uin.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • %data corrente%%numero%

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "PViever"=""%PROGRAM FILES%\PViever\pviever.exe" hide"

Vengono aggiunte le seguenti chiavi di registro:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent\Post Platform
   • "(Default)"=""

– HKLM\SOFTWARE\Surf
   • "mhost"=%risorse internet utilizzate dal malware%
   • "uin"=%data corrente%%numero%

Vengono cambiate le seguenti chiavi di registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
   Valore precedente:
   • "www"="http://"
   Nuovo valore:
   • "www"="http://htpp.ws?"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
   Valore precedente:
   • "(Default)"="http://"
   Nuovo valore:
   • "(Default)"="http://htpp.ws?"

Backdoor Contatta il server:
Uno dei seguenti:
   • http://neo**********
   • http://super**********
   • http://htp**********
   • http://xe**********
   • http://mirax.spb.ru**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Teodor Onisor il Mon, 07 Aug 2006 13:45 (GMT+1)
Descrizione aggiornata da Teodor Onisor il Tue, 08 Aug 2006 09:29 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro