Backdoor.Delf – víruskeresőket likvidáló trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2002. augusztus 5.
Védelem elkészítésének ideje: 2002. augusztus 5.
Veszélyeztetett rendszerek: Windows NT/2k/XP
Nem veszélyeztetett rendszerek: Windows 3.x/9x/Me, Macintosh, Unix, Linux
Mérete: 522.754 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– az ismertebb víruskereső és tűzfalprogramok következő processeit próbálja meg leállítani:
_Avp32.exe, _Avpcc.exe, _Avpm.exe, Avp32.exe, Avpcc.exe, Avconsol.exe, Avpm.exe, Kavi.exe, Ants.exe, Anti-Trojan.exe, Avpexec.exe, Alertsvc.exe, Amon.exe, Avp.exe, Spider.exe, Drweb32w.exe, Spidernt.exe, Drwebwcl.exe, Zapro.exe, Smc.exe, Navapw32.exe, Navw32.exe, Icload95.exe, Icmon.exe, Icsupp95.exe, Icloadnt.exe, Icsuppnt.exe, Iface.exe, Iamapp.exe, Iamserv.exe, Frw.exe, Blackice.exe, Blackd.exe, Zonealarm.exe, Vsmon.exe, Wrctrl.exe, Wradmin.exe, Cleaner3.exe, Cleaner.exe, Tca.exe, Moolive.exe, Lockdown2000.exe, Sphinx.exe, Vshwin32.exe, Vsecomr.exe, Webscanx.exe, Vsstat.exe
– ellenőrzés nélküli hozzáférést kínál a fertőzött számítógéphez
– megkísérli ellopni a fertőzött számítógépen tárolt Windows és dial-up jelszavakat
– bemásolja magát a System könyvtárba Scanvegw.exe néven
– a következő Registry kulcsokhoz adja hozzá a Windows Service bejegyzést annak érdekében, hogy minden rendszerinduláskor futtatásra kerüljön:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce