VírusTR/Spy.Delf.BEW
Data em que surgiu:13/03/2008
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:325.120 Bytes
MD5 checksum:2c17a4990A97701d2c07e61796aa5b6c
Versão IVDF:7.00.03.27 - sexta-feira, 14 de março de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\system.exe

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKCU\sRegPolicies+\Explorer]
   • NoChangeStartMenu = 1
   • NoClose = 1
   • NoLogOff = 1



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • Shell = Explorer.exe
   Valor recente:
   • Shell = Explorer.exe %WINDIR%\system.exe

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • DisableTaskMgr = 1

Desactiva a Firewall do Windows
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • Start = %definições do utilizador %
   Valor recente:
   • Start = 4

 Backdoor Contacta o servidor:
Seguintes:
   • http://inovus.com.pt/**********/help_data.php
   • http://love.ladyzhin.biz/inc/**********/help_data.php
   • http://www.ht-o.de/hto/administrator/**********/help_data.php
   • http://perso146-g5.free.fr/**********/help_data.php
   • http://mambembricantes.com/**********/read_table.php
   • http://salvadorcapitano.com.ar/**********/read_table.php

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Gherman em sexta-feira, 14 de março de 2008
Descrição atualizada por Andrei Gherman em sexta-feira, 14 de março de 2008

Voltar . . . .