BDS/Delf.afu.1 - Backdoor Server

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	BDS/Delf.afu.1
Scoperto:	04/08/2006
Tipo:	Backdoor Server
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	812.544 Byte
Somma di controllo MD5:	e6415f4beff18e5a4f045c6c022cfb0E
Versione VDF:	6.35.01.46

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Symantec: Trojan.Upchan
   • Mcafee: Uploader-AC
   • Kaspersky: Backdoor.Win32.Delf.afu
   • TrendMicro: TSPY_SUFIAGE.G
   • Sophos: Troj/Delf-DDR
   • VirusBuster: trojan Backdoor.Delf.RSW
   • Bitdefender: Backdoor.Delf.SS

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Viene creato il seguente file:

– File “non maligno”:
• %home%\My Documents\My Pictures\%sconosciuto% Re-birth[%data
corrente% %ora corrente%] %nome utente corrente%.jpg

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SVCHOST" = "%WINDIR%:SVCHOST.exe"

Viene aggiunta la seguente chiave di registro:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   • "Count" = %numero esadecimale%

Viene cambiata la seguente chiave di registro:

Disattiva il Regedit e il Task Manager:   Nuovo valore:
   • "DisableTaskMgr" = dword:00000001

Backdoor Le seguenti porte sono aperte:

– %file eseguiti% sulla porta TCP 80 con lo scopo di procurarsi un server HTTP.
– %file eseguiti% su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.

Contatta il server:
Tutti i seguenti:
   • http://isp.2c**********
   • http://www.2c**********
   • http://v.isp.2c**********
   • http://tmp6.ch2.net/test/read.cgi/**********
   • http://tmp6.ch2.net/test/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione. Questo viene fatto tramite la richiesta HTTP GET in uno script CGI.
Questo è fatto tramite il metodo HTTP POST utilizzando uno script CGI.

Invia informazioni riguardanti:
    • Immagine “catturata” dallo schermo
    • Stato corrente del malware

Capacità di controllo remoto:
    • Visitare un sito web

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Mon, 07 Aug 2006 11:10 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Tue, 08 Aug 2006 14:03 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro