Backdoor.Delf.B – célpontban a víruskeresők kiiktatása

A trójai program tulajdonságai

Felfedezésének ideje: 2002. augusztus 8.
Védelem elkészítésének ideje: 2002. augusztus 9.
Veszélyeztetett rendszerek: Windows NT/2k/XP
Nem veszélyeztetett rendszerek: Windows 3.x/9x/Me, Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– az ismertebb víruskereső és tűzfalprogramok következő processeit próbálja meg leállítani:
_Avp32.exe, _Avpcc.exe, _Avpm.exe, Avp32.exe, Avpcc.exe, Avconsol.exe, Avpm.exe, Kavi.exe, Ants.exe, Anti-Trojan.exe, Avpexec.exe, Alertsvc.exe, Amon.exe, Avp.exe, Spider.exe, Drweb32w.exe, Spidernt.exe, Drwebwcl.exe, Zapro.exe, Smc.exe, Navapw32.exe, Navw32.exe, Icload95.exe, Icmon.exe, Icsupp95.exe, Icloadnt.exe, Icsuppnt.exe, Iface.exe, Iamapp.exe, Iamserv.exe, Frw.exe, Blackice.exe, Blackd.exe, Zonealarm.exe, Vsmon.exe, Wrctrl.exe, Wradmin.exe, Cleaner3.exe, Cleaner.exe, Tca.exe, Moolive.exe, Lockdown2000.exe, Sphinx.exe, Vshwin32.exe, Vsecomr.exe, Webscanx.exe, Vsstat.exe
– ellenőrzés nélküli hozzáférést kínál a fertőzött számítógéphez
– bemásolja magát a System könyvtárba Kernel32.exe néven
– a következő Registry kulcsokhoz adja hozzá a LoadWindowsFile bejegyzést annak érdekében, hogy minden rendszerinduláskor futtatásra kerüljön:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run