Trojan-Downloader.Win32.Delf.awg

Материал из Total Malware Info

Trojan-Downloader.Win32.Delf.awg — троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Является приложением Windows (PE EXE-файл). Имеет размер 11131 байт. Упакована WinUpack. Распакованный размер около 260 КБ. Язык написания Borland Delphi.

Инсталляция

Попадает на компьютер пользователя в виде вложения в письме. Содержит иконку самораспаковующегося (SFX) архива, созданного архиватором WinRar.

Деструктивная активность

После запуска создается поток, в котором каждые 20 миллисекунд происходит поиск в системе окна с классом "AVP.AlertDialog". Если такое окно было обнаружено, то происходит поиск в этом окне кнопки с надписью "П&ропустить" или с надписью "&Разрешить". Если она была найдена, то происходит поиск и имитация клика пользователем левой кнопкой мыши по кнопке. В основном потоке программы троянца происходит определение наличия в ключе:

[HKCU\Software\Microsoft\Windows]

параметра "m". Если такой параметр существует, то происходит завершение работы вредоноса, иначе происходит создание этого параметра:

[HKCU\Software\Microsoft\Windows]
"(m)" = "m"

Дальше троянская программа производит запуск процесса "svchost.exe" и внедрение в него кода, содержащего процедуру загрузки файлов. После запуска этой процедуры происходит загрузка файлов со следующих URL:

http://rik*****com/lonus/1/1.exe (23 552 байт, детектируется Антивирусом Касперского Trojan-PSW.Win32.LdPinch.awp)
http://rik*****com/lonus/2/2.exe (21 276 байт, детектируется Антивирусом Касперского Email-Worm.Win32.Scano.as)
http://rik*****com/lonus/3/3.exe (15 013 байт, детектируется Антивирусом Касперского Trojan-Proxy.Win32.Xorpix.am)

и их сохранение в системе, во временном каталоге Windows, под следующими именами:

%Temp%\csrss.exe
%Temp%\smss.exe
%Temp%\lsass.exe

После загрузки для каждого файла проверяется его размер: если он равен нулю, то производится повторная загрузка файла. Также для каждого файла проверяется наличие в его начале сигнатуры исполняемого EXE-файла (строка "MZ" вначале файла). Если такая сигнатура была найдена, то производится запуск сохраненного файла. Дальше происходит переход к скачиванию следующего файла.

Рекомендации по удалению

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Открыть ключ реестра:

[HKCU\Software\Microsoft\Windows]

4. и удалить параметр "m".
5. Во временном каталоге Windows удалить файлы:

%Temp%\csrss.exe
%Temp%\smss.exe
%Temp%\lsass.exe