TR/Dldr.Delf.ady - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Dldr.Delf.ady
Data em que surgiu:	21/12/2005
Tipo:	Trojan
Subtipo:	Downloader
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	28.088 Bytes
MD5 checksum:	5f9598584d5e68c4bfe345064d7049f0
Versão VDF:	6.33.00.47

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-Downloader.Win32.Delf.ady
   • Bitdefender: Trojan.Downloader.Delf.DA

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

Ficheiros É criado o seguinte ficheiro:

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\InfoMs.Ime Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Delf.ady.3

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
• www.k163.net/**********
Encontra-se no disco rígido: %TEMPDIR%\xx.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Copiet.B.1

– A partir da seguinte localização:
• www.tzstock.com/bbs/data/**********
Encontra-se no disco rígido: %TEMPDIR%\server.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{C217767F-E340-49B8-85D3-3A72B9CD652F}" = ""

– [HKCR\CLSID\{C217767F-E340-49B8-85D3-3A72B9CD652F}\InProcServer32]
   • "ThreadingModel" = "Apartment"
   • "@" = "%PROGRAM FILES%\Common Files\Microsoft Shared\MSINFO\InfoMs.Ime"

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Delphi.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Veja aqui uma breve descrição.

Descrição adicionada por Daniel Constantin em Tue, 14 Mar 2006 11:54 (GMT+1)
Descrição adicionada por Daniel Constantin em Tue, 14 Mar 2006 14:14 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back