Trojan-Downloader.Win32.Delf.m
Материал из Total Malware Info
Trojan-Downloader.Win32.Delf.m Троянская программа-загрузчик, которая без ведома пользователя загружает из сети Интернет программное обеспечение и запускает его. Программа является приложением Windows (PE EXE-файл). Имеет размер 11 292 байта. Упакована при помощи UPX. Распакованный размер около - �19 КБ. Написана на Borland Delphi.
Деструктивная активность
После запуска троянец производит попытку регистрации оконного класса с именем "SERVER". Если такой оконный класс уже существовал (копия троянской программы уже запущена), то происходит завершение работы троянца. Если же оконный класс был успешно зарегистрирован, то происходит создание окна с заголовком "ПїНєїзФЇ•ЬАнЖч". После этого происходит считывание трех байт от конца файла "T\S", содержащего тело троянца, которые подвергаются обработке и сравнению с сигнатурой "QRZ". Если сигнатура совпала, то происходит расшифровка имени сервера и пути к файлу для скачивания. Вместе они формируют ссылку для загрузки файла:
http://www.******.com/bbs5.exe (на момент создания описания открывалась страница http://www.1enovo.com)
файл сохраняется в корневой каталог диска C: под именем Temphttp.sys:
C:\Temphttp.sys
Если сигнатура не совпала или файл не был обнаружен по указанной ссылке, то происходит переключение троянца в пассивный режим, при котором он остается в списке процессов, не выполняя никаких действий. В противном же случае происходит запуск файла "C:\Temphttp.sys" и завершение работы троянца.
Рекомендации по удалению
- При помощи «Диспетчера задач» завершить троянский процесс, а также процесс с именем:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файл:
Temphttp.sys
C:\Temphttp.sys
