Nume:TR/Spy.Delf.BEW
Descoperit pe data de:13/03/2008
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:325.120 Bytes
MD5:2c17a4990A97701d2c07e61796aa5b6c
Versiune IVDF:7.00.03.27 - sexta-feira, 14 de março de 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\system.exe

 Registrii sistemului Se adauga in registrii sistemului:

– [HKCU\sRegPolicies+\Explorer]
   • NoChangeStartMenu = 1
   • NoClose = 1
   • NoLogOff = 1



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • Shell = Explorer.exe
   Noua valoare:
   • Shell = Explorer.exe %WINDIR%\system.exe

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • DisableTaskMgr = 1

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • Start = %setarile utilizatorului%
   Noua valoare:
   • Start = 4

 Backdoor Servere contactate:
Urmatoarele:
   • http://inovus.com.pt/**********/help_data.php
   • http://love.ladyzhin.biz/inc/**********/help_data.php
   • http://www.ht-o.de/hto/administrator/**********/help_data.php
   • http://perso146-g5.free.fr/**********/help_data.php
   • http://mambembricantes.com/**********/read_table.php
   • http://salvadorcapitano.com.ar/**********/read_table.php

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Andrei Gherman em sexta-feira, 14 de março de 2008
Descrição atualizada por Andrei Gherman em sexta-feira, 14 de março de 2008

Voltar . . . .