Dotkom
Backdoor.Delf.B – célpontban a víruskeresők kiiktatása
A Delf.B csak Windows NT, 2000 és XP alatt tudja kifejteni hatását – ezen operációs rendszerek alatt megkísérli leállítani a futó víruskereső(ke)t.
A trójai program tulajdonságai
Felfedezésének ideje: 2002. augusztus 8.
Védelem elkészítésének ideje: 2002. augusztus 9.
Veszélyeztetett rendszerek: Windows NT/2k/XP
Nem veszélyeztetett rendszerek: Windows 3.x/9x/Me, Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódásakor bekövetkező események
– az ismertebb víruskereső és tűzfalprogramok következő processeit próbálja meg leállítani:
_Avp32.exe, _Avpcc.exe, _Avpm.exe, Avp32.exe, Avpcc.exe, Avconsol.exe, Avpm.exe, Kavi.exe, Ants.exe, Anti-Trojan.exe, Avpexec.exe, Alertsvc.exe, Amon.exe, Avp.exe, Spider.exe, Drweb32w.exe, Spidernt.exe, Drwebwcl.exe, Zapro.exe, Smc.exe, Navapw32.exe, Navw32.exe, Icload95.exe, Icmon.exe, Icsupp95.exe, Icloadnt.exe, Icsuppnt.exe, Iface.exe, Iamapp.exe, Iamserv.exe, Frw.exe, Blackice.exe, Blackd.exe, Zonealarm.exe, Vsmon.exe, Wrctrl.exe, Wradmin.exe, Cleaner3.exe, Cleaner.exe, Tca.exe, Moolive.exe, Lockdown2000.exe, Sphinx.exe, Vshwin32.exe, Vsecomr.exe, Webscanx.exe, Vsstat.exe
– ellenőrzés nélküli hozzáférést kínál a fertőzött számítógéphez
– bemásolja magát a System könyvtárba Kernel32.exe néven
– a következő Registry kulcsokhoz adja hozzá a LoadWindowsFile bejegyzést annak érdekében, hogy minden rendszerinduláskor futtatásra kerüljön:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2002/08/10/backdoor-delf-b-celpontban-a-viruskeresok-kiiktatasa/" width="800" count="off" num="3" countmsg=""]
