English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Delf.aow.29
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TechBlog
BDS/Delf.aow.29 - Backdoor Server
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
BDS/Delf.aow.29
発見日:
04/01/2007
タイプ
バックドア・サーバ型
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
1.249.280 バイト
VDFファージョン:
6831705c64296963f7d11a0669ffecf7
IVDFファージョン:
6.35.01.100
- Wed, 16 Aug 2006 09:57 (GMT+1)
エンジンのバージョン
6.35.01.101
一般情報
感染方法
• それ自体に伝染能力はない
別名
• Kaspersky(カスペルスキー) Backdoor.Win32.Delf.aow
• Grisoft BackDoor.Generic3.HPD
• Eset Win32/Delf.NDN
• ビットディフェンダー(Bitdefender): Backdoor.Delf.AOW
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルをダウンロードします。
• ファイルを作成します。
• レジストリの改変。
• 情報を盗みます。
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\LSASS.exe
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
–
%SYSDIR%
\drivers\oreans32.sys 作成が完了した後、起動されます。
–
%実行されたマルウェアのディレクトリ%
\_DELET~1.BAT 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
• "Security"=
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx\Security]
• "Security"=
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
• "Service"="oreans32"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="oreans32"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
Control]
• "*NewlyCreated*"=dword:00000000
"ActiveService"="oreans32"
– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
• "Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"ImagePath"="
%SYSDIR%
\drivers\oreans32.sys"
"DisplayName"="oreans32"
– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
• "0"="Root\\LEGACY_OREANS32\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Services\WinServerNamx]
• "Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="
%SYSDIR%
\LSASS -NetSata"
"DisplayName"="Windows ServerNamx"
"ObjectName"="LocalSystem"
"Description"="
%ランダムな文字列%
"
バックドア
サーバに接続します。
以下のもの:
• http://www.ip.newying.com/**********
これはPHPスクリプトを使ったHTTP GETのリクエストを通して行われます。
窃盗
以下の情報を盗もうとします:
– ウインドウズ製品のID
– 以下の文字列をチェックするネットワーク・スニファーを利用します。
• :$l
• :.x
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• 200600227
アンチ・デバッギング
以下のプログラムが実行されていないか調べます:
• SoftIce
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• InstallShield 2000 stub
簡単な説明は
ココ
にあります。.
この説明は Monica Ghitun によって Thu, 04 Jan 2007 14:07 (GMT+1) 書き込まれました。
この説明は Monica Ghitun によって Thu, 11 Jan 2007 11:01 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AD
Worm/Bagle.FJ
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Klez.E
TR/PSW.Delf.CRW
TR/Dldr.VB.FSW
DR/Dldr.VB.VYP
TR/Dldr.Renos.CH
TR/Buzus.iij
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2009 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
