Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusBDS/Delf.spu
Data em que surgiu:21/02/2010
Tipo:Servidor Backdoor
Includo na lista "In The Wild"Sim
Nvel de danos:De baixo a mdio
Nvel de distribuio:De baixo a mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:144.384 Bytes
MD5 checksum:3be1031ad44efb92061d9ac9790968ad
Verso IVDF:7.10.04.107 - sábado, 20 de fevereiro de 2010

 Vulgarmente Alias:
   •  Panda: Trj/KillAV.NB
   •  Eset: Win32/AutoRun.IRCBot.DZ
   •  Bitdefender: Trojan.Generic.3536156


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\wmiscvr.exe



Apaga a cpia executada inicialmente.




Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • http://rix.messenger-update.su/**********




Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • ipconfig /flushdns


Executa um dos seguintes ficheiros:
   • CMD /C net stop K7RTScan


Executa um dos seguintes ficheiros:
   • CMD /C sc stop K7RTScan


Executa um dos seguintes ficheiros:
   • net stop K7RTScan


Executa um dos seguintes ficheiros:
   • "%SYSDIR%\wmiscvr.exe"


Executa um dos seguintes ficheiros:
   • sc stop K7RTScan


Executa um dos seguintes ficheiros:
   • net1 stop K7RTScan

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="ctfmon.exe"



Os valores das seguintes chaves registo do windows so eliminados:

–  [HKLM\SECURITY\RXACT]
   • Log

–  [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot



Cria as seguintes entradas de forma a fazer um bypass firewall do Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmiscvr.exe"="%SYSDIR%\wmiscvr.exe:*:Enabled:DHCP Router"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile\AuthorizedApplications\List]
   • "%SYSDIR%\wmiscvr.exe"="%SYSDIR%\wmiscvr.exe:*:Enabled:DHCP Router"



So adicionadas as seguintes chaves ao registo:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\ctfmon.exe]
   • "Debugger"="wmiscvr.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\
   Layers]
   • "%SYSDIR%\wmiscvr.exe"="DisableNXShowUI"



Altera as seguintes chaves de registo do Windows:

[HKLM\SECURITY\Policy\Secrets\SAC\CupdTime]
   Valor recente:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\CupdTime]
   Valor recente:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\OldVal]
   Valor recente:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\OupdTime]
   Valor recente:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\CurrVal]
   Valor recente:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\CurrVal]
   Valor recente:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\OldVal]
   Valor recente:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\OupdTime]
   Valor recente:
   • "@"=""

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 21 de maio de 2010
Descrição atualizada por Petre Galan em sexta-feira, 21 de maio de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.