Trojan-Downloader.Win32.Delf.ds
Материал из Total Malware Info
Trojan-Downloader.Win32.Delf.ds Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 11 322 байт. Упакована при помощи UPX. Распакованный размер около -�20 КБ. Написана на Borland Delphi.
Деструктивная активность
После загрузки троянец производит поиск пути к программе "PasswordGuard" путем чтения параметра реестра:
[HKLM\ Software\Microsoft\Windows\CurrentVersion\Uninstall\ГЬВл·АµБЧЁјТ ЧЫєП°ж] "UninstallString"
После этого происходит выделение пути к ней и завершение процессов с именами:
PasswordGuard.exe PasswordGuard.e
Далее троянская программа производит удаление процессов с именами:
EGHOST.EXE Iparmor.exe MAILMON.EXE KAVPFW.EXE
Затем происходит закрытие программ со следующими оконными классами и заголовками окон соответственно:
"RavMonClass", "RavMon.exe" "Tapplication","МмНш·А»рЗЅёцИЛ°ж" "Tapplication","МмНш·А»рЗЅЖуТµ°ж" "TfLockDownMain", (любой) "ZAFrameWnd", "ZoneAlarm"
Далее происходит загрузка файлов со следующих URL:
http://www.f******6.com/images/play1.exe (на момент создания описания ссылка не работала) http://www.f******6.com/images/play2.exe (на момент создания описания ссылка не работала) http://www.f******6.com/images/play3.exe (на момент создания описания ссылка не работала)
и сохранение их под именами:
C:\windows\1.exe C:\windows\2.exe C:\windows\3.exe
после чего файлы запускаются на выполнение.
Рекомендации по удалению
- При помощи «Диспетчера задач» завершить троянский процесс, а также процессы с именами:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
1.exe 2.exe 3.exe
C:\windows\1.exe C:\windows\2.exe C:\windows\3.exe
