Trojan-Downloader.Win32.Delf.ch

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Delf.ch Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 10 752 байта. Упакована при помощи UPX. Распакованный размер около -�17 КБ. Написана на Borland Delphi.

Деструктивная активность

После загрузки троянец генерирует случайное число от 0 до 99. Если сгенерированное число меньше или равно 25, то происходит загрузка файла со следующего URL: 

http://www.jus*******bar.biz/adv/1/jfi.dll (на момент создания описания ссылка не работала)

и сохранение его в системный каталог Windows под именем jfi.dll: 

%System%\jfi.dll

Далее с помощью программы regsvr32.exe происходит регистрация этой динамической библиотеки в системе: 

regsvr32.exe /s %System%\jfi.dll

и завершение работы троянца. Если же сгенерированное число больше 25, то происходит загрузка файла со следующего URL: 

http://67.*****.10/enter/access2.asp?user=fhxxx (на момент создания описания ссылка не работала)

в корневой каталог диска C: под именем sek3.exe: 

c:\sek3.exe

После чего файл запускается на выполнение, и троянец завершает свою работу.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс, а также процесс именем:
    2. sek3.exe.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. c:\sek3.exe
%System%\jfi.dll
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Delf.ch»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.