English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Delf.CO.13
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Delf.CO.13 - Backdoor Server
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
BDS/Delf.CO.13
Обнаружен:
04/08/2006
Вид:
Backdoor сервер
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
760.320 байт.
Контрольная сумма MD5:
0756d255c3bae4a5b691bc1c1e22a49b
Версия VDF:
6.35.01.46
Версия IVDF:
6.35.01.46
Общее
Метод распространения:
• Нет собственной процедуры распространения
• Kaspersky: Backdoor.Win32.Delf.co
• Bitdefender: Backdoor.Delf.CO
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файлы
• Загружает вредоносные файлы
• Изменение реестра
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%PROGRAM FILES%
\PViever\pviever.exe
Создается следующая директория:
•
%PROGRAM FILES%
\PViever\
Создается файл:
–
%PROGRAM FILES%
\PViever\uin.txt Файл является безвредным текстовым файлом со следующим содержимым:
•
%актуальная дата%
%Число%
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "PViever"=""
%PROGRAM FILES%
\PViever\pviever.exe" hide"
Добавляются следующие ключи реестра:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
User Agent
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
User Agent\Post Platform
• "(Default)"=""
– HKLM\SOFTWARE\Surf
• "mhost"=
%используемые потенциально опасной программой Интернет ресурсы%
• "uin"=
%актуальная дата%
%Число%
Изменяются следующие ключи реестра:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
Прежнее значение:
• "www"="http://"
Новое значение:
• "www"="http://htpp.ws?"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Прежнее значение:
• "(Default)"="http://"
Новое значение:
• "(Default)"="http://htpp.ws?"
Backdoor
Устанавливает соединение с сервером
Один из следующих:
• http://neo**********
• http://super**********
• http://htp**********
• http://xe**********
• http://mirax.spb.ru**********
В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Соединение периодически регулярно повторяется. Это происходит с помощью HTTP GET запроса PHP скрипта.
Кража
Попытка кражи следующей информации:
– Введенные в поле пароля символы
Данные файла
Язык программирования:
Программа была написана на Delphi.
Краткое описание см.
здесь
.
Описание добавлено: Teodor Onisor Mon, 07 Aug 2006 13:45 (GMT+1)
Описание обновлено: Teodor Onisor Tue, 08 Aug 2006 09:29 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info BDS/Delf.CO.13
Print this page
.gif)
