TR/Delf.Agent.ABC - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Delf.Agent.ABC
Scoperto:	16/07/2008
Tipo:	Trojan
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	No
Dimensione del file:	~800.000 Byte
Versione IVDF:	7.00.05.128

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Spy.Win32.Delf.chk
   • F-Secure: Trojan-Spy.Win32.Delf.chk
   • Sophos: Sus/Uddo-B

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alle seguenti posizioni:
   • %PROGRAM FILES%\peppi_Grusskarten\peppi.exe
   • %PROGRAM FILES%\peppi_Grusskarten\lisys.exe
   • %SYSDIR%\host.exe

Vengono creati i seguenti file:

– File “non maligni”:
   • %PROGRAM FILES%\peppi_Grusskarten\license.txt
   • %home%\Application Data\proxy.pac
   • %home%\Application Data\syslog2.dll

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "vhost"="%SYSDIR%\host.exe"

Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
   peppi_Grusskarten]
   • "DisplayName"="peppi_Grusskarten"
   • "UninstallString"="%PROGRAM FILES%\peppi_Grusskarten\lisys.exe"

Backdoor Contatta il server:
Il seguente:
   • http://89.107.66.239/**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Invia informazioni riguardanti:
    • Nome del computer
    • Nome Utente
    • Informazioni sul sistema operativo Windows

Sottrazione di informazioni – Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • http://ciao.de/; http://www.adac.de/; http://adac.de/;
      http://airberlin.de/; http://www.lufthansa.de/; http://www.ciao.de/;
      http://bahn.de/; http://auto.de/; http://heise.de/;
      http://ullapopken.de/; http://www.ullapopken.de/;
      http://www.congstar.de/; http://congstar.de/; http://www.bahn.de/;
      http://onvista.de/; http://www.onvista.de/; http://immonet.de/;
      http://www.immonet.de/; http://www.neckermann.de/;
      http://neckermann.de/; http://premiere.de/; http://www.premiere.de/;
      http://www.mobilcom.de/; http://mobilcom.de/; http://www.rossmann.de/;
      http://rossmann.de/; http://www.base.de/; http://base.de/;
      http://www.douglas.de/; http://douglas.de/;
      http://www.immobilienscout24.de/; http://immobilienscout24.de/;
      http://immobilienscout.de/; http://www.immobilienscout.de/;
      http://www.autoscout24.de/; http://autoscout24.de/;
      http://www.eplus.de/; http://eplus.de/; http://www.jamba.de/;
      http://jamba.de/; http://www.o2online.de/; http://o2online.de/;
      http://www.maxdome.de/; http://maxdome.de/; http://www.telekom.de/;
      http://telekom.de/; http://quelle.de/; http://www.quelle.de/;
      http://www.fahrrad.de/; http://fahrrad.de/; http://www.otto.de/;
      http://otto.de/; http://amazon.com/; http://ilove.de/;
      http://www.ilove.de/; http://www.tchibo.de/; http://tchibo.de/;
      http://www.musicload.de/; http://musicload.de/; http://www.arcor.de/;
      http://www.studyvz.de/; http://arcor.de/; http://studyvz.de/;
      http://www.1und1.com/; http://1und1.com/; http://1und1.de/;
      http://www.ebay.de/; http://ebay.de/; http://www.1und.de/;
      http://bwin.com/; http://www.bwin.de/; http://bwin.de/;
      http://www.bwin.com/; http://www.plus.de/; http://qvc.de/;
      http://www.qvc.de/; http://sixt.de/; http://www.sixt.de/;
      http://duw.de/; http://www.duw.de/; http://blume2000.de/;
      http://www.blume2000.de/; http://www.web.de/; http://web.de/;
      http://www.jappy.de/; http://jappy.de/; http://reifen.com/;
      http://www.reifen.com/; http://parship.de/; http://www.parship.de/;
      http://geizkragen.de/; http://www.geizkragen.de/; http://debitel.de/;
      http://www.debitel.de/; http://playboy.de/; http://www.playboy.de/;
      http://www.telefon.de/; http://telefon.de/; http://yellostrom.de/;
      http://www.yellostrom.de/; http://nokia.de/; http://www.nokia.de/;
      http://thomascook.de/; http://www.thomascook.de/; http://plus.de/;
      http://google.de/; http://fleurop.de/; http://www.fleurop.de/;
      http://hse24.de/; http://www.hse24.de/; http://beateuhse.de/;
      http://www.beateuhse.de/; http://www.beate-uhse.de/;
      http://beate-uhse.de/; http://aol.de/; http://www.aol.de/;
      http://orion.de/; http://www.orion.de/; http://medion.de/;
      http://www.medion.de/; http://ehotel.de/; http://www.ehotel.de/;
      http://europoker.net/; http://www.europoker.net/;
      http://www.buecher.de/; http://buecher.de/; http://getmobile.de/;
      http://www.getmobile.de/; http://sport1.de/; http://sport1.de/;
      http://tuifly.de/; http://www.tuifly.de/; http://www.tuifly.com/;
      http://tuifly.com/; http://kabeldeutschland.de/;
      http://www.kabeldeutschland.de/; http://debitel.de/;
      http://www.debitel.de/; http://ilove.de/; http://www.ilove.de/;
      http://youtube.de/; http://www.youtube.de/; http://www.amazon.com/;
      http://gmx.de/; http://www.gmx.de/; http://www.amazon.de/;
      http://amazon.de/; http://esprit.de/; http://www.esprit.de/;
      http://t-mobile.de/; http://www.t-mobile.de/; http://www.tmobile.de/;
      http://vodafone.de/; http://www.vodafone.de/; http://eplus.de/;
      http://www.eplus.de/; http://myvideo.de/; http://www.myvideo.de/;
      http://spiegel.de/; http://www.spiegel.de/; http://yahoo.de/;
      http://www.yahoo.de/; http://neu.de/; http://www.neu.de/;
      http://bild.de/; http://expedia.de/; http://www.expedia.de/;
      http://travelchannel.de/; http://www.travelchannel.de/;
      http://www.opodo.de/; http://opodo.de/; http://bonprix.de/;
      http://www.bonprix.de/; http://weltbild.de/; http://www.weltbild.de/;
      http://www.tui.com/; http://tui.com/; http://tui.de/;
      http://www.tui.de/; http://apple.de/; http://www.apple.de/;
      http://strato.de/; http://www.strato.de/; http://freenet.de/;
      http://www.freenet.de/; http://www.airberlin.de/;
      http://www.airberlin.com/; http://www.airberlin.com/;
      http://condor.de/; http://www.condor.de/; http://www.condor.com/;
      http://condor.com/; http://easyjets.com/; http://www.easyjets.com/;
      http://easyjets.de/; http://www.easyjets.de/; http://telefonbuch.de/;
      http://www.telefonbuch.de/; http://knuddels.de/;
      http://www.knuddels.de/; http://www.kwick.de/; http://kwick.de/;
      http://prosieben.de/; http://www.prosieben.de/; http://premiere.de/;
      http://www.premiere.de/; http://versatel.de/; http://www.versatel.de/;
      http://alice-dsl.de/; http://www.alice-dsl.de/; http://alicedsl.de/;
      http://www.alicedsl.de/; http://zdnet.de/; http://www.zdnet.de/;
      http://golem.de/; http://www.golem.de/; http://leo.org/;
      http://www.leo.org/; http://chip.de/; http://www.chip.de/;
      http://wikipedia.de/; http://www.wikipedia.de/; http://www.lycos.de/;
      http://lycos.de/; http://auto.de/; http://www.heise.de/;
      http://ard.de/; http://www.ard.de/; http://welt.de/;
      http://www.welt.de/; http://meinestadt.de/; http://www.meinestadt.de/;
      http://billiger.de/; http://www.billiger,de/; http://youporn.com/;
      http://www.youporn.com/; http://redtube.com/; http://www.redtube.com/;
      http://t-online.de/; http://www.t-online.de/; http://tonline.de/;
      http://www.tonline.de/; http://payback.de/; http://www.payback.de/;
      http://dell.de/; http://www.dell.de/; http://lokalisten.de/;
      http://www.lokalisten.de/; http://www.kijiji.de/; http://kijiji.de/;
      http://dell.com/; http://www.dell.com/; http://t-home.de/;
      http://www.t-home.de/; http://msn.de/; http://www.msn.de/;
      http://focus.de/; http://www.focus.de/; http://stayfriends.de/;
      http://www.wetter.com/; http://wetter.com/; http://pcwelt.de/;
      http://www.pcwelt.de/; http://idealo.de/; http://www.idealo.de/;
      http://buffed.de/; http://www.buffed.de/; http://faz.net/;
      http://www.faz.net/; http://tagesschau.de/; http://www.tagesschau.de/;
      http://clipfish.de/; http://www.clipfisch.de/; http://kostenlos.de/;
      http://www.kostenlos.de/; http://wetteronline.de/;
      http://www.wetteronline.de/; http://arbeitsagentur.de/;
      http://www.arbeitsagentur.de/; http://zdf.de/; http://www.zdf.de/;
      http://dastelefonbuch.de/; http://www.dastelefonbuch.de/;
      http://urlaub.de/; http://www.urlaub.de/; http://www.icq.com/;
      http://icq.com/; http://icq.de/; http://www.icq.de/;
      http://www.handelsblatt.de/; http://handelsblatt.de/;
      http://www.mobile.de/; http://mobile.de/; http://eventim.de/;
      http://www.eventim.de/; http://reisen.de/; http://www.reisen.de/;
      http://lastminute.de/; http://www.lastminute.de/; http://sex.de/;
      http://www.sex.de/; http://myspace.com/; http://www.myspace.com/;
      http://facebook.com/; http://www.facebook.com/;
      http://adultfriendfinder.com/; http://www.adultfriendfinder.com/;
      http://flickr.com/; http://www.flickr.com/; http://partypoker.com/;
      http://www.partypoker.com/; http://download.com/;
      http://www.download.com/; http://fussball.de/;
      http://www.fussball.de/; http://888.com/; http://www.888.com/;
      http://www.stayfriends.de/; http://stayfriend.de/;
      http://www.stayfriend.de/; http://monster.de/; http://www.monster.de/;
      http://live.de/; http://www.live.de/; http://live.com/;
      http://www.live.com/; http://hotmail.de/; http://www.hotmail.de/;
      http://www.hotmail.com/; http://www.google.de/; http://yahoo.com/;
      http://www.yahoo.com/; http://autoscout.de/; http://www.autoscout.de/;
      http://stellenangebote.de/; http://www.stellenangebote.de/;
      http://stepstone.de/; http://www.stepstone.de/; http://mcdonalds.de/;
      http://www.mcdonalds.de/; http://pkw.de/; http://www.pkw.de/;
      http://kaimobile.de/; http://www.bild.de/; http://eshop.arcor.net/;
      http://arcor.net/; http://poppen.de/; http://www.poppen.de/;
      http://dsl.1und1.de/; http://www.1und1.info/; http://home.1und1.de/;
      http://zylom.de/; http://zylom.com/; http://www.de.zylom.com/;
      http://kunst.ebay.de/; http://audio.ebay.de/; http://motors.ebay.de/;
      http://baby.ebay.de/; http://www.first-handyshop.de/;
      http://first-handyshop.de/; http://route.web.de/; http://iww.web.de/;
      http://rover.ebay.de/; http://www.ikea.com/; http://www.ikea.com/;
      http://www.schuelervz.net/; http://www.kingbushido.de/;
      http://klarmobil.de/; http://www.klarmobil.de/; http://simyo.de/;
      http://www.simyo.de/; http://immobilien.de/;
      http://www.immobilien.de/; http://dhd24.com/; http://www.dhd24.com/;
      http://hood.de/; http://www.hood.de/; http://fundorado.de/;
      http://www.fundorado.de/; http://ikea.de/; http://www.ikea.de/;
      http://o2dsl.de/; http://www.o2dsl.de/; http://spinchat.de/;
      http://spin.de/; http://www.spin.de/; http://www.spinchat.de/;
      http://aidu.de/; http://www.aidu.de/; http://ab-in-den-urlaub.de/;
      http://www.ab-in-den-urlaub.de/; http://aida.de/; http://www.aida.de/;
      http://congster.de/; http://www.congster.de/;
      http://www.google.*/search; http://google.*/search;
      http://de.search.yahoo.; http://search.yahoo.; http://google.*/search;
      http://de.search.yahoo.; http://search.yahoo.

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Delphi.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Thomas Wegele il Thu, 17 Jul 2008 08:10 (GMT+1)
Descrizione aggiornata da Thomas Wegele il Thu, 17 Jul 2008 08:40 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro