Delf.P

Létrehozva: 2008-05-29, 14:03:28

Utolsó frissítés: 2009-11-09, 17:08:28

Platform: Win32

Típus: féreg

Méret: 86178

Dátum: 2005-07-22

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Delf.P féreg elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Delf-CKS
AVG	I-Worm/Generic.KT
Avira	WORM/Delf.P.5
BitDefender	Win32.Delf.P@mm
F-PROT	W32/EmailWorm.OPU
Fortinet	W32/Delf.P@mm
F-Secure	Email-Worm.Win32.Delf.p

vírusvédelem	elnevezés
Ikarus	Email-Worm.Win32.Delf.p
Kaspersky	Email-Worm.Win32.Delf.p
McAfee	New Win32(Virus)
NOD32 (ESET)	Win32/Delf.P
Panda	Trj/Downloader.MDW
Rising Antivirus	Worm.Mail.Delf.ig
Trend Micro	WORM_Generic

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Delf.P féreg a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza az alábbi fájlokat:

asapi.dll
windows.res
RCHOST.EXE

A Win32/Delf.P féreg a Windows Startup mappájában véletlenszerűen generált névvel fájl(oka)t hoz létre, melyeknek kiterjesztése .bat.

A Win32/Delf.P féreg a merevlemez(ek) főkönyvtárában létrehozza az alábbi fájlokat:

explorer.exe
<random>.exe

A Win32/Delf.P féreg a megosztott mappákban létrehozza az alábbi fájlokat:

AVP5 Keyfile Generator.bat
AVP5 Keyfile Generator.exe
AVP5 Keyfile Generator.pif
AVP5 Keyfile Generator.rar
AVP5 Keyfile Generator.zip
teljes lista...

AVP5 Keyfile Generator.bat
AVP5 Keyfile Generator.exe
AVP5 Keyfile Generator.pif
AVP5 Keyfile Generator.rar
AVP5 Keyfile Generator.zip
Crack-Activation.bat
Crack-Activation.com
Crack-Activation.exe
Crack-Activation.pif
Crack-Activation.rar
Crack-Activation.scr
Delphi 2005 Release + KeyGen.exe
Delphi 2005 Release + KeyGen.rar
Delphi 2005 Release + KeyGen.scr
Delphi 2005 Release + KeyGen.zip
Desktop-Tricks.com
Desktop-Tricks.exe
Desktop-Tricks.pif
Desktop-Tricks.scr
Desktop-Tricks.zip
foldersuxx.dat
FreshWarez.bat
FreshWarez.com
FreshWarez.exe
FreshWarez.pif
FreshWarez.rar
HardcoreLove.bat
HardcoreLove.exe
HardcoreLove.pif
HardcoreLove.rar
HardcoreLove.scr
HARDCORE_PHOTO_ARCHIVE.bat
HARDCORE_PHOTO_ARCHIVE.com
HARDCORE_PHOTO_ARCHIVE.pif
HARDCORE_PHOTO_ARCHIVE.rar
HARDCORE_PHOTO_ARCHIVE.scr
How 2 write a virus - BOOK.bat
How 2 write a virus - BOOK.com
How 2 write a virus - BOOK.exe
How 2 write a virus - BOOK.pif
How 2 write a virus - BOOK.rar
How 2 write a virus - BOOK.zip
Jerk-Jerk-Jerk.bat
Jerk-Jerk-Jerk.com
Jerk-Jerk-Jerk.exe
Jerk-Jerk-Jerk.zip
Kick_Your_Friend.bat
Kick_Your_Friend.com
Kick_Your_Friend.exe
Kick_Your_Friend.scr
Kick_Your_Friend.zip
MasturbatingGirl.bat
MasturbatingGirl.com
MasturbatingGirl.pif
MasturbatingGirl.rar
MasturbatingGirl.zip
mIRC 7 + patch.bat
mIRC 7 + patch.pif
mIRC 7 + patch.rar
mIRC 7 + patch.scr
mIRC 7 + patch.zip
Norton Internet Secutity 2005.bat
Norton Internet Secutity 2005.exe
Norton Internet Secutity 2005.pif
Norton Internet Secutity 2005.scr
Norton Internet Secutity 2005.zip
Office 12 unique beta!!!.com
Office 12 unique beta!!!.exe
Office 12 unique beta!!!.pif
Office 12 unique beta!!!.rar
Office 12 unique beta!!!.scr
Overclocking Tutorial.bat
Overclocking Tutorial.com
Overclocking Tutorial.exe
Overclocking Tutorial.pif
Overclocking Tutorial.rar
Overclocking Tutorial.zip
Serials_Database.bat
Serials_Database.com
Serials_Database.exe
Serials_Database.scr
Serials_Database.zip
StyleXP + Crack 2in1.bat
StyleXP + Crack 2in1.com
StyleXP + Crack 2in1.exe
StyleXP + Crack 2in1.scr
StyleXP + Crack 2in1.zip
TheBestCollectionOfSoft.bat
TheBestCollectionOfSoft.exe
TheBestCollectionOfSoft.pif
TheBestCollectionOfSoft.rar
TheBestCollectionOfSoft.scr
TheBestCollectionOfSoft.zip
Virus Sources NetSky,Bagle,Klez,Avron,Nimda,Sircam and more.bat
Virus Sources NetSky,Bagle,Klez,Avron,Nimda,Sircam and more.com
Virus Sources NetSky,Bagle,Klez,Avron,Nimda,Sircam and more.exe
Virus Sources NetSky,Bagle,Klez,Avron,Nimda,Sircam and more.rar
VisualStudio .Net 2005 Enterprise Architect.com
VisualStudio .Net 2005 Enterprise Architect.exe
VisualStudio .Net 2005 Enterprise Architect.pif
VisualStudio .Net 2005 Enterprise Architect.rar
VisualStudio .Net 2005 Enterprise Architect.zip
Warez-Archive.bat
Warez-Archive.com
Warez-Archive.pif
Warez-Archive.scr
Warez-Archive.zip
Winamp 7.82 NEW (Incl. Keygen).bat
Winamp 7.82 NEW (Incl. Keygen).com
Winamp 7.82 NEW (Incl. Keygen).pif
Winamp 7.82 NEW (Incl. Keygen).rar
Winamp 7.82 NEW (Incl. Keygen).scr
Winamp 7.82 NEW (Incl. Keygen).zip
Windows_Activation_Patch.exe
Windows_Activation_Patch.rar
Windows_Activation_Patch.scr
Windows_Activation_Patch.zip
Windows NT4,2K sourcecode leak.exe
Windows NT4,2K sourcecode leak.pif
Windows NT4,2K sourcecode leak.rar
Windows NT4,2K sourcecode leak.scr
Windows NT4,2K sourcecode leak.zip
XXX Passwords(my own!!!).bat
XXX Passwords(my own!!!).com
XXX Passwords(my own!!!).exe
XXX Passwords(my own!!!).pif
XXX-SUPER-TITS.exe
XXX-SUPER-TITS.pif
XXX-SUPER-TITS.zip
vissza...

A Win32/Delf.P féreg a megosztott mappákban véletlenszerűen generált névvel fájl(oka)t hoz létre, melyeknek kiterjesztése az alábbiak egyike:

.bat
.com
.exe
.pif
.scr
.zip

Megjegyzés: A leírásban szereplő <random> véletlenszerű karaktereket jelöl.

A Win32/Delf.P féreg a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\RCHOST] "ImagePath"="C:\WINDOWS\system32\RCHOST.EXE"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\RCHOST] "DisplayName"="RHOST"

Egy, a számítógépeket támadó vírus, féreg az elindulást követő aktivizálódás érdekében szolgáltatást (service) is létrehozhat. A szolgáltatások paramétereit is természetesen tartalmazza a rendszerleíró adatbázis (registry). A szolgáltatásokat a Windows XP alatt a Vezérlőpult/Felügyeleti eszközök/Szolgáltatások alatt tekinthetjük meg. A vírusok, férgek a szolgáltatásokat le is állíthatják.

A Win32/Delf.P féreg RCHOST néven hoz létre szervizt.

A létrehozott szerviz a(z) C:\WINDOWS\system32\RCHOST.EXE elérési útra hivatkozik.