Trojan-PSW.Win32.Delf.ahq

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Delf.ahq Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 33931 байт. Упакован при помощи UPX, распакованный размер 110 к.б.

Инсталляция

Копирует свой исполняемый файл как: 

%Program Files%\Internet Explorer\InfoMs.sys

Извлекает из своего тела файлы: 

%Program Files%\Internet Explorer\InfoMs.tdm
%Program Files%\Internet Explorer\InfoMs.tp3 (копия)

Данный файл имеет размер 47755 байта и детектируется Антивирусом Касперского как Trojan-PSW.Win32.Delf.ahq Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{DD7D4640-4464-48C0-82FD-21338366D2D2}

Так же троян создает следующий ключ реестра, необходимый для обеспечения своей автозагрузки: 

[HKCR\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}]

После успешной инсталляции троян удаляет свой оригинальный файл.

Деструктивная активность

После установки троян скачивает конфигурационный файл с сайта 

http://www.******.com/

данный файл содержит скрипт, который определяет дальнейшие действия трояна, которые могут быть одними из следующих: Внесение изменений в файл 

%WinDir%\System32\drivers\etc\hosts

таким образом перенаправляя запросы к некоторым сайтам на сайты злоумышленников.

  • Слежка за вводимым текстом в полях на веб формах в программе Internet Explorer.
  • Открытие URL в Internet Explorer без ведома пользователя.
  • Закачка файла из интернет по указанному URL и его запуск на компьютере пользователя.

Так же троян создает ключ реестра, в котором хранит свои настройки: 

[HKCU\Software\Mz\OpenIe2]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить параметр в ключе системного реестра:
    3. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{DD7D4640-4464-48C0-82FD-21338366D2D2}
  3. Удалить ключи системного реестра:
    4. [HKCR\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}]
[HKCU\Software\Mz\OpenIe2]
  4. Удалить файлы:
    5. %Program Files%\Internet Explorer\InfoMs.sys
%Program Files%\Internet Explorer\InfoMs.tdm
%Program Files%\Internet Explorer\InfoMs.tp3
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Delf.ahq»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.