W32_delf

W32/Delf.AWS

Nombre:	W32/Delf.AWS Alias: Backdoor.Win32.Delf.aws, BKDR_DELF.FRI, W32/Devall.A.worm, W32/Hupigon.worm
Tipo:	Gusano, Backdoor
Tamaño:	Variable
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.1 al 19/04/2007.

Descripción:

W32/Delf.AWS, es un gusano con características de Backdoor, que se difunde vía unidades removibles.

Cuando el troyano se ejecuta copia a

%windows%\lsass.exe

Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema

HKEY_CURRENT_USER\System\CurrentControlSet\Services\kkdc

"ImagePath"="%windows%\lsass.exe -netsvcs"

HKEY_CURRENT_USER\System\ControlSet001\Services\kkdc

"ImagePath"="%windows%\lsass.exe -netsvcs"

Seguidamente el gusano copia los siguientes archivos dentro de unidades removibles:

autorun.pif
autorun.inf

El componente backdoor intenta conectarse a un determinado sitio vía http, si logra establecer comunicación queda a la espera de recibir ordenes, las ordenes podrían realizar las siguientes acciones:

Ejecutar archivos.
Robar información del computador atacado.
Capturar pulsaciones del teclado.

Finalmente el gusano terminara los siguientes procesos:

EGHOST.EXE
KavPFW.EXE
KPFW32.EXE
RfwMain.EXE
RRfwMain.EXE
PFW.exe
ewido.exe
SysSafe.exe
FireWall.exe
kpf4gui.exe
jpf.exe
ssgui.exe
outpost.exe
FYFireWall.exe
runiep.exe
Ras.exe
kav.exe
avp.exe
avpcc.exe
mmc.exe