Precisa consertar seu PC?
Contrate um especialista
VírusTR/Proxy.Delf.CA
Data em que surgiu:26/02/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:28.833 Bytes
MD5 checksum:916ede7e54c83f11f0f99f7e53178a3b
Versão IVDF:6.37.01.162 - segunda-feira, 26 de fevereiro de 2007

 Vulgarmente Meios de transmissão:
   • Rede local
   • Unidade de rede


Alias:
   •  Mcafee: W32/Fujacks
   •  Kaspersky: Worm.Win32.Delf.bd
   •  F-Secure: Worm.Win32.Delf.bd
   •  Sophos: W32/Fujacks-AU
   •  Grisoft: Worm/Delf.AEP
   •  Eset: Win32/Fujacks.O
   •  Bitdefender: Win32.Worm.Fujacks.J


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\drivers\spoclsv.exe
   • %unidade%\setup.exe



São acrescentadas várias secções aos ficheiros.
– Para: %todas as pastas%\*.htm Com os conteúdos seguintes:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

Renomeia um ficheiro depois do sistema reinicializar.
– Para: %todas as pastas%\*.html Com os conteúdos seguintes:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas as pastas%\*.asp Com os conteúdos seguintes:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas as pastas%\*.php Com os conteúdos seguintes:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas as pastas%\*.jsp Com os conteúdos seguintes:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas as pastas%\*.aspx Com os conteúdos seguintes:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe




São criados os seguintes ficheiros:

%todas as pastas%\Desktop_.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %data actual%

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.baidu8.org/**********/xm.txt
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

 Registry (Registo do Windows) A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe



Os valores da seguinte chave Registo são eliminados:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse



O seguinte valor do registo é alterado:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue = %definições do utilizador %
   Valor recente:
   • CheckedValue = 0

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de nomes de utilizadores:
   • Administrator
   • Guest
   • admin
   • Root

– A seguinte lista de palavras-chave:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100



Criação de endereços IP:
Gera endereços IP aleatoriamente, guardando somente os três primeiros octetos do seu endereço. De seguida tenta estabelecer ligação com os endereços gerados.


Processo de infecção:
O ficheiro descarregado é armazenado na máquina a atacar: %todas as pastas partilhadas%\GameSetup.exe


Lentidão:
– Cria o seguinte número de processos de infecção: 9
– Dependendo da sua largura da banda poderá notar uma baixa de velocidade da rede. Como a actividade de rede para este malware é de nível médio se tiver uma ligação de banda larga o utilizador pode não se aperceber de nada.
– O utilizador também pode notar uma leve baixa na velocidade devido aos múltiplos processos de rede criados.

 Terminar o processo A seguinte lista de processos são terminados:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

São terminados os processos que contêm um dos titulos seguintes:
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert


Lista de serviços desactivados:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • FSG

Descrição enviada por Andrei Gherman em quinta-feira, 19 de junho de 2008
Descrição atualizada por Andrei Gherman em quinta-feira, 19 de junho de 2008

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.