Trojan-Downloader.Win32.Delf.bz
Материал из Total Malware Info
Trojan-Downloader.Win32.Delf.bz Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 11 268 байт. Упакована при помощи UPX. Распакованный размер около – �20 КБ. Написана на Borland Delphi.
Деструктивная активность
После загрузки троянец производит поиск пути к программе "PasswordGuard" путем чтения параметра реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ГЬВл·АµБЧЁјТ ЧЫєП°ж] "UninstallString"
После этого происходит выделение пути к ней и завершение процессов с именами:
PasswordGuard.exe PasswordGuard.e.
Далее троянская программа производит удаление процессов с именами:
EGHOST.EXE Iparmor.exe MAILMON.EXE KAVPFW.EXE
Затем происходит закрытие программ со следующими оконными классами и заголовками окон соответственно:
(любой)," ?-ГсЙ+¶?Ин?ю KV2004?єКчК+?аКУ" "RavMonClass", "RavMon.exe" "Tapplication","МмНш·А»рЗЅёцИЛ°ж" "Tapplication","МмНш·А»рЗЅЖуТµ°ж" "TfLockDownMain", (любой) "ZAFrameWnd", "ZoneAlarm"
После этого происходит загрузка файлов со следующих URL:
http://www.9*****d.com/2004SP1.exe (на момент создания описания ссылка не работала) http://www.9*****d.com/2004SP2.exe (на момент создания описания ссылка не работала) http://www.9*****d.com/2004SP3.exe (на момент создания описания ссылка не работала)
и сохранение их под именами:
C:\windows\a.exe C:\windows\b.exe C:\windows\c.exe
после чего файлы запускаются на выполнение.
Рекомендации по удалению
- При помощи «Диспетчера задач» завершить троянский процесс, а также процессы с именами:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалит файлы:
a.exe b.exe c.exe
C:\windows\a.exe C:\windows\b.exe C:\windows\c.exe
