English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Delf.Agent.ABC
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Delf.Agent.ABC - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Delf.Agent.ABC
Обнаружен:
16/07/2008
Вид:
Троянская программа
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Нет
Размер файла:
~800.000 байт.
Версия IVDF:
7.00.05.128
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Kaspersky: Trojan-Spy.Win32.Delf.chk
• F-Secure: Trojan-Spy.Win32.Delf.chk
• Sophos: Sus/Uddo-B
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Создает файлы
• Изменение реестра
• Похищает информацию
После запуска выдается следующая информация:
Файлы
Создаются собственные копии:
•
%PROGRAM FILES%
\peppi_Grusskarten\peppi.exe
•
%PROGRAM FILES%
\peppi_Grusskarten\lisys.exe
•
%SYSDIR%
\host.exe
Создаются следующие файлы:
– Незараженные файлы:
•
%PROGRAM FILES%
\peppi_Grusskarten\license.txt
•
%home%
\Application Data\proxy.pac
•
%home%
\Application Data\syslog2.dll
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "vhost"="
%SYSDIR%
\host.exe"
Добавляется следующий ключ реестра:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
peppi_Grusskarten]
• "DisplayName"="peppi_Grusskarten"
• "UninstallString"="
%PROGRAM FILES%
\peppi_Grusskarten\lisys.exe"
Backdoor
Устанавливает соединение с сервером
Следующий:
• http://89.107.66.239/**********
В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.
Передает информацию о:
• Имя компьютера
• Имя пользователя
• Информация об операционной системе Windows
Кража
– Проверяется сетевой трафик. Поиск следующих последовательностей символов:
• http://ciao.de/; http://www.adac.de/; http://adac.de/;
http://airberlin.de/; http://www.lufthansa.de/; http://www.ciao.de/;
http://bahn.de/; http://auto.de/; http://heise.de/;
http://ullapopken.de/; http://www.ullapopken.de/;
http://www.congstar.de/; http://congstar.de/; http://www.bahn.de/;
http://onvista.de/; http://www.onvista.de/; http://immonet.de/;
http://www.immonet.de/; http://www.neckermann.de/;
http://neckermann.de/; http://premiere.de/; http://www.premiere.de/;
http://www.mobilcom.de/; http://mobilcom.de/; http://www.rossmann.de/;
http://rossmann.de/; http://www.base.de/; http://base.de/;
http://www.douglas.de/; http://douglas.de/;
http://www.immobilienscout24.de/; http://immobilienscout24.de/;
http://immobilienscout.de/; http://www.immobilienscout.de/;
http://www.autoscout24.de/; http://autoscout24.de/;
http://www.eplus.de/; http://eplus.de/; http://www.jamba.de/;
http://jamba.de/; http://www.o2online.de/; http://o2online.de/;
http://www.maxdome.de/; http://maxdome.de/; http://www.telekom.de/;
http://telekom.de/; http://quelle.de/; http://www.quelle.de/;
http://www.fahrrad.de/; http://fahrrad.de/; http://www.otto.de/;
http://otto.de/; http://amazon.com/; http://ilove.de/;
http://www.ilove.de/; http://www.tchibo.de/; http://tchibo.de/;
http://www.musicload.de/; http://musicload.de/; http://www.arcor.de/;
http://www.studyvz.de/; http://arcor.de/; http://studyvz.de/;
http://www.1und1.com/; http://1und1.com/; http://1und1.de/;
http://www.ebay.de/; http://ebay.de/; http://www.1und.de/;
http://bwin.com/; http://www.bwin.de/; http://bwin.de/;
http://www.bwin.com/; http://www.plus.de/; http://qvc.de/;
http://www.qvc.de/; http://sixt.de/; http://www.sixt.de/;
http://duw.de/; http://www.duw.de/; http://blume2000.de/;
http://www.blume2000.de/; http://www.web.de/; http://web.de/;
http://www.jappy.de/; http://jappy.de/; http://reifen.com/;
http://www.reifen.com/; http://parship.de/; http://www.parship.de/;
http://geizkragen.de/; http://www.geizkragen.de/; http://debitel.de/;
http://www.debitel.de/; http://playboy.de/; http://www.playboy.de/;
http://www.telefon.de/; http://telefon.de/; http://yellostrom.de/;
http://www.yellostrom.de/; http://nokia.de/; http://www.nokia.de/;
http://thomascook.de/; http://www.thomascook.de/; http://plus.de/;
http://google.de/; http://fleurop.de/; http://www.fleurop.de/;
http://hse24.de/; http://www.hse24.de/; http://beateuhse.de/;
http://www.beateuhse.de/; http://www.beate-uhse.de/;
http://beate-uhse.de/; http://aol.de/; http://www.aol.de/;
http://orion.de/; http://www.orion.de/; http://medion.de/;
http://www.medion.de/; http://ehotel.de/; http://www.ehotel.de/;
http://europoker.net/; http://www.europoker.net/;
http://www.buecher.de/; http://buecher.de/; http://getmobile.de/;
http://www.getmobile.de/; http://sport1.de/; http://sport1.de/;
http://tuifly.de/; http://www.tuifly.de/; http://www.tuifly.com/;
http://tuifly.com/; http://kabeldeutschland.de/;
http://www.kabeldeutschland.de/; http://debitel.de/;
http://www.debitel.de/; http://ilove.de/; http://www.ilove.de/;
http://youtube.de/; http://www.youtube.de/; http://www.amazon.com/;
http://gmx.de/; http://www.gmx.de/; http://www.amazon.de/;
http://amazon.de/; http://esprit.de/; http://www.esprit.de/;
http://t-mobile.de/; http://www.t-mobile.de/; http://www.tmobile.de/;
http://vodafone.de/; http://www.vodafone.de/; http://eplus.de/;
http://www.eplus.de/; http://myvideo.de/; http://www.myvideo.de/;
http://spiegel.de/; http://www.spiegel.de/; http://yahoo.de/;
http://www.yahoo.de/; http://neu.de/; http://www.neu.de/;
http://bild.de/; http://expedia.de/; http://www.expedia.de/;
http://travelchannel.de/; http://www.travelchannel.de/;
http://www.opodo.de/; http://opodo.de/; http://bonprix.de/;
http://www.bonprix.de/; http://weltbild.de/; http://www.weltbild.de/;
http://www.tui.com/; http://tui.com/; http://tui.de/;
http://www.tui.de/; http://apple.de/; http://www.apple.de/;
http://strato.de/; http://www.strato.de/; http://freenet.de/;
http://www.freenet.de/; http://www.airberlin.de/;
http://www.airberlin.com/; http://www.airberlin.com/;
http://condor.de/; http://www.condor.de/; http://www.condor.com/;
http://condor.com/; http://easyjets.com/; http://www.easyjets.com/;
http://easyjets.de/; http://www.easyjets.de/; http://telefonbuch.de/;
http://www.telefonbuch.de/; http://knuddels.de/;
http://www.knuddels.de/; http://www.kwick.de/; http://kwick.de/;
http://prosieben.de/; http://www.prosieben.de/; http://premiere.de/;
http://www.premiere.de/; http://versatel.de/; http://www.versatel.de/;
http://alice-dsl.de/; http://www.alice-dsl.de/; http://alicedsl.de/;
http://www.alicedsl.de/; http://zdnet.de/; http://www.zdnet.de/;
http://golem.de/; http://www.golem.de/; http://leo.org/;
http://www.leo.org/; http://chip.de/; http://www.chip.de/;
http://wikipedia.de/; http://www.wikipedia.de/; http://www.lycos.de/;
http://lycos.de/; http://auto.de/; http://www.heise.de/;
http://ard.de/; http://www.ard.de/; http://welt.de/;
http://www.welt.de/; http://meinestadt.de/; http://www.meinestadt.de/;
http://billiger.de/; http://www.billiger,de/; http://youporn.com/;
http://www.youporn.com/; http://redtube.com/; http://www.redtube.com/;
http://t-online.de/; http://www.t-online.de/; http://tonline.de/;
http://www.tonline.de/; http://payback.de/; http://www.payback.de/;
http://dell.de/; http://www.dell.de/; http://lokalisten.de/;
http://www.lokalisten.de/; http://www.kijiji.de/; http://kijiji.de/;
http://dell.com/; http://www.dell.com/; http://t-home.de/;
http://www.t-home.de/; http://msn.de/; http://www.msn.de/;
http://focus.de/; http://www.focus.de/; http://stayfriends.de/;
http://www.wetter.com/; http://wetter.com/; http://pcwelt.de/;
http://www.pcwelt.de/; http://idealo.de/; http://www.idealo.de/;
http://buffed.de/; http://www.buffed.de/; http://faz.net/;
http://www.faz.net/; http://tagesschau.de/; http://www.tagesschau.de/;
http://clipfish.de/; http://www.clipfisch.de/; http://kostenlos.de/;
http://www.kostenlos.de/; http://wetteronline.de/;
http://www.wetteronline.de/; http://arbeitsagentur.de/;
http://www.arbeitsagentur.de/; http://zdf.de/; http://www.zdf.de/;
http://dastelefonbuch.de/; http://www.dastelefonbuch.de/;
http://urlaub.de/; http://www.urlaub.de/; http://www.icq.com/;
http://icq.com/; http://icq.de/; http://www.icq.de/;
http://www.handelsblatt.de/; http://handelsblatt.de/;
http://www.mobile.de/; http://mobile.de/; http://eventim.de/;
http://www.eventim.de/; http://reisen.de/; http://www.reisen.de/;
http://lastminute.de/; http://www.lastminute.de/; http://sex.de/;
http://www.sex.de/; http://myspace.com/; http://www.myspace.com/;
http://facebook.com/; http://www.facebook.com/;
http://adultfriendfinder.com/; http://www.adultfriendfinder.com/;
http://flickr.com/; http://www.flickr.com/; http://partypoker.com/;
http://www.partypoker.com/; http://download.com/;
http://www.download.com/; http://fussball.de/;
http://www.fussball.de/; http://888.com/; http://www.888.com/;
http://www.stayfriends.de/; http://stayfriend.de/;
http://www.stayfriend.de/; http://monster.de/; http://www.monster.de/;
http://live.de/; http://www.live.de/; http://live.com/;
http://www.live.com/; http://hotmail.de/; http://www.hotmail.de/;
http://www.hotmail.com/; http://www.google.de/; http://yahoo.com/;
http://www.yahoo.com/; http://autoscout.de/; http://www.autoscout.de/;
http://stellenangebote.de/; http://www.stellenangebote.de/;
http://stepstone.de/; http://www.stepstone.de/; http://mcdonalds.de/;
http://www.mcdonalds.de/; http://pkw.de/; http://www.pkw.de/;
http://kaimobile.de/; http://www.bild.de/; http://eshop.arcor.net/;
http://arcor.net/; http://poppen.de/; http://www.poppen.de/;
http://dsl.1und1.de/; http://www.1und1.info/; http://home.1und1.de/;
http://zylom.de/; http://zylom.com/; http://www.de.zylom.com/;
http://kunst.ebay.de/; http://audio.ebay.de/; http://motors.ebay.de/;
http://baby.ebay.de/; http://www.first-handyshop.de/;
http://first-handyshop.de/; http://route.web.de/; http://iww.web.de/;
http://rover.ebay.de/; http://www.ikea.com/; http://www.ikea.com/;
http://www.schuelervz.net/; http://www.kingbushido.de/;
http://klarmobil.de/; http://www.klarmobil.de/; http://simyo.de/;
http://www.simyo.de/; http://immobilien.de/;
http://www.immobilien.de/; http://dhd24.com/; http://www.dhd24.com/;
http://hood.de/; http://www.hood.de/; http://fundorado.de/;
http://www.fundorado.de/; http://ikea.de/; http://www.ikea.de/;
http://o2dsl.de/; http://www.o2dsl.de/; http://spinchat.de/;
http://spin.de/; http://www.spin.de/; http://www.spinchat.de/;
http://aidu.de/; http://www.aidu.de/; http://ab-in-den-urlaub.de/;
http://www.ab-in-den-urlaub.de/; http://aida.de/; http://www.aida.de/;
http://congster.de/; http://www.congster.de/;
http://www.google.*/search; http://google.*/search;
http://de.search.yahoo.; http://search.yahoo.; http://google.*/search;
http://de.search.yahoo.; http://search.yahoo.
Данные файла
Язык программирования:
Программа была написана на Delphi.
Краткое описание см.
здесь
.
Описание добавлено: Thomas Wegele Thu, 17 Jul 2008 08:10 (GMT+1)
Описание обновлено: Thomas Wegele Thu, 17 Jul 2008 08:40 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Delf.Agent.ABC
Print this page
.gif)
