Trojan-Downloader.Win32.Delf.bx

Материал из Total Malware Info

Trojan-Downloader.Win32.Delf.bx Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 25 591 байт. Упакована при помощи UPX. Распакованный размер около - �50 КБ. Написана на Borland Delphi.

Инсталляция

После загрузки троянца происходит проверка наличия хотя бы одного параметра в командной строке. В случае если параметр найден, то проверяется расширение первого параметра командной строки. Если он ".txt" или ".ini", то происходит запуск программы "Блокнот" (notepad.exe) с этим параметром. Далее троянцем проверяется наличие файла explore.exe в системном каталоге Windows:

%System%\explore.exe

Если такой файл не существует, то происходит копирование файла троянца в системный каталог Windows под именем explore.exe:

%System%\explore.exe

и выполняется регистрация автозапуска копии троянца в ключе системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"cExplorer"="%System%\explore.exe"

Затем происходит его запуск, а работа основного процесса троянца продолжается.

Деструктивная активность

Во время работы троянца происходит попытка создания уникального идентификатора с именем "QQWB_HANDLE_OF_MUTEX". Если такой уже существовал (была запущена копия троянца), то происходит завершение работы троянца. Далее для типов файлов "txtfile" и "inifile" происходит регистрация автозапуска файла троянца при их открытии:

[HKCR\inifile\shell\open\command]
"(Default)"=""%System%\explore.exe" "%1""

[HKCR\txtfile\shell\open\command]
"(Default)"=""%System%\explore.exe" "%1""

После чего происходит регистрация в системе оконного класса с именем "SoftOk_ExplOrer" и создание на его базе окна с заголовком "SoftOk_ExplOrer". Затем с конца файла происходит чтение 503 байт, в которых в зашифрованном виде расположены ссылки на файлы для скачивания. После этого создается таймер и через 0,1 секунды происходит следующее:

• Троянец регистрирует в реестре еще один вариант автозапуска своего тела (%FileName%):

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer"="%FileName%"

• В системный каталог Windows под именем command.txt:

%System%\command.txt

• происходит попытка сохранения файла, расположенного по ссылке:

http://www.******.com/softcom/wb.txt (на момент созданияописания ссылка не работала)

• Если файл был успешно загружен и сохранен, то происходит построчное его чтение, декодирование, получение оттуда ссылок и имен файлов для сохранения, причем каталоги для сохранения кодируются так:
• "Systerm" – системный каталог Windows;
• "Windows" – корневой каталог Windows;
• "Desktop" – текущий каталог.
• По этим ссылкам происходит загрузка файлов и их скрытый запуск.
• Кроме того, при закрытии файла троянца происходит его самозапуск.

Рекомендации по удалению

1. При помощи «Диспетчера задач» завершить троянский процесс, а также процессы загруженных им файлов.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры реестра

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"cExplorer"
"Explorer"

4. Исправить значения ключе реестра:

[HKCR\txtfile\shell\open\command]
[HKCR\inifile\shell\open\command]

5. с

"(Default)"=""%System%\explore.exe" "%1""

6. на

"(Default)"="notepad.exe " "%1"

7. Удалить файлы:

%System%\explore.exe
%System%\command.txt