Trojan-Downloader.Win32.Delf.j

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.Delf.j Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 23 552 байта. Не упакована. Написана на Borland Delphi.

Деструктивная активность

После запуска троянец производит попытку открытия файла aupdate.conf, размещенного в системном каталоге Windows: 

%System%\aupdate.conf

Если такой файл не был найден, то работа троянской программы прекращается. Если файл был найден, то из него происходит генерация количества минут и секунд для получения длительности цикла работы троянца. Если полученное время равно нулю, то в качестве длительности цикла работы троянской программы принимается отрезок времени 6 часов. Дальше происходит попытка получения сетевого имени компьютера. Если это имя получить не удалось (сеть не активирована), то происходит приостановка работы троянца на время, равное длительности цикла троянской программы. В противном же случае, из файла: 

%System%\aupdate.trk

извлекается ссылка, по которой происходит загрузка файла, сохраняемого под именем aupd.exe во временном каталоге Windows: 

%Temp%\aupd.exe

Если по каким-либо причинам загрузка файла не удалась, то происходит удаление файла "%Temp%\aupd.exe". То же произойдет и в случае, если первые два байта загруженного файла не содержат сигнатуры "MZ", идентифицирующей EXE-файл. После удаления файла происходит приостановка работы троянца на время, равное длительности цикла троянской программы. Иначе, произойдет запуск файла "%Temp%\aupd.exe", после завершения его работы происходит получение следующей ссылки для скачивания, получение файла, его запуск и так, пока не произойдет загрузка всех указанных файлов. Указанный набор действий выполняется с периодичностью, равной длительности цикла троянской программы.

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс, а также процессы с именами: а также процесс с именем:
    2. aupd.exe
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. %Temp%\aupd.exe
%System%\aupdate.conf
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.Delf.j»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.