Trojan.Win32.Delf.aam

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Delf.aam Троянская программа, которая выполняет деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 38 992 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%Temp%\services.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=”explorer.exe=%Temp%\services.exe”

Деструктивная активность

Данная троянская программа предназначена для похищения паролей пользователя на учетные записи Yahoo Messenger. Изменяет значение следующего ключа реестра: 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden=0
HideFileExt=0

скрывая таким образом расширения файлов зарегистрированных типов и отключает отображение скрытых файлов.

Следит за клавиатурным вводом пользователя в окнах с заголовками: 

Yahoo! Messenger with Voice (BETA)
	SIGN IN

перехваченные данные отправляет в URL запросе: 

http://www.ilam********kers.com/index.php?text=<перехваченные клавиши>

ссылка открывается в бразуере Microsoft Internet Explorer.

Троян завершает свою работу если в системе отсутствует хотя бы один из нижеприведенных процессов: 

SERVICES.EXE
LSASS.EXE
SMSS.EXE
CSRSS.EXE
WINLOGON.EXE

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметры в ключе реестра: (как работать с реестром?):
    4. [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden=0
HideFileExt=0
  4. Изменить значение параметра в ключе реестра на следующее (как работать с реестром?):
    5. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=”explorer.exe”
  5. Удалить файл:
    6. %Temp%\services.exe
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Delf.aam»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.