Troj/Delf.EZY

DELF.EZY troyano con Backdoor de IRC y BOT crea falsos servicios ejecuta comandos remotos arbitrarios.

Troj/Delf.EZY

Delf.EZY es un troyano residente en memoria reportado el 06 de Junio del 2008, que se propaga a través de servidores remotos haciendo uso del puerto TCP 80 u 8080 (HTTP).

Se ejecuta continuamente en segundo plano (background) y a través de un servidor Backdoor permite que los intrusos tomen control en forma remota de los sistemas infectados, vía canales de Chat.

Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado al sistema se copia a la carpeta %System% con el nombre de qtplugin.exe y libera los siguientes archivos:

%System%\hdfile.sys
%System%\hdport.sys

para activarse cada vez que se re-inicie el sistema, genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RegistryMonitor1" = "%System%\qtplugin.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el troyano registra al archivo hdfile.sys como un nuevo driver de servicio del sistema con el nombre de "hdfile", con el atributo de inicio automático, bajo la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hdfile]

El archivo hdport.sys es registrado como un nuevo driver de servicio del sistema con el nombre de "hdport", con el atributo de inicio automático, con la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hdport]

configura la siguientes sub-llaves para deshabilitar la ejecución automática de otros programas:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv]
Start = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
Start = 4

Deshabilitando el servicio de Acceso Compartido deshabilita la conexión del Firewall a Internet.

Abre un Backdoor el cual es ejecutado contínuamente en segundo plano (background) y usando un BOT de IRC (Internet Chat Relay) se conecta a un pre-determinado canal de Chat desde el cual un intruso podrá ejecutar, entre otras, las siguientes acciones:

Capturar infomación sensible del sistema infectado
Ejecutar comandos arbitarios
Ejecutar ataques DoS.
Controlar en forma remota los sistemas infectados.

PER ANTIVIRUS® versión X5 con registro de virus al 06 de Junio del 2008 detecta y elimina este troyano.