BDS/Delf.CO.13 - Backdoor Server

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	BDS/Delf.CO.13
Data em que surgiu:	04/08/2006
Tipo:	Servidor Backdoor
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	760.320 Bytes
MD5 checksum:	0756d255c3bae4a5b691bc1c1e22a49b
Versão VDF:	6.35.01.46
Versão IVDF:	6.35.01.46

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação
   • Kaspersky: Backdoor.Win32.Delf.co
   • Bitdefender: Backdoor.Delf.CO

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
   • %PROGRAM FILES%\PViever\pviever.exe

Cria a seguinte pasta:
   • %PROGRAM FILES%\PViever\

É criado o seguinte ficheiro:

– %PROGRAM FILES%\PViever\uin.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • % data actual%%número%

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "PViever"=""%PROGRAM FILES%\PViever\pviever.exe" hide"

São adicionadas as seguintes chaves ao registo:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   User Agent\Post Platform
   • "(Default)"=""

– HKLM\SOFTWARE\Surf
   • "mhost"=%recursos Internet utilizados pelo malware%
   • "uin"=% data actual%%número%

Altera as seguintes chaves de registo do Windows:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
   Valor anterior:
   • "www"="http://"
   Valor recente:
   • "www"="http://htpp.ws?"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
   Valor anterior:
   • "(Default)"="http://"
   Valor recente:
   • "(Default)"="http://htpp.ws?"

Backdoor Contacta o servidor:
Um dos seguintes:
   • http://neo**********
   • http://super**********
   • http://htp**********
   • http://xe**********
   • http://mirax.spb.ru**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Também, repete a ligação periodicamente. Isto é feito usando o método HTTP GET através de scripts PHP.

Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em Delphi.

Veja aqui uma breve descrição.

Descrição adicionada por Teodor Onisor em Mon, 07 Aug 2006 13:45 (GMT+1)
Descrição adicionada por Teodor Onisor em Tue, 08 Aug 2006 09:29 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back