Trojan.Win32.Delf.abx

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan.Win32.Delf.abx Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 945664 байт.

Инсталляция

Копирует свой исполняемый файл как: 

%System%\RavMon.exe

Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
RavAV=%System%\RavMon.exe

Деструктивная активность

Копирует свой исполняемый файл в корень каждого съемного раздела с именем: 

<X>:\RavmonE.exe, где X – буква раздела

Так же вместе со своим исполняемым файлом червь помещает в корень раздела сопровождающий файл: 

<X>:\autorun.inf

который запускает исполняемый файл червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”. Завершает следующие процессы, если такие присутствуют в системе: 

iexp1ore.exe
IEXPL0RE.EXE
RUNDL132.EXE
Logo1_.exe
rundl132.exe
SLcc.exe
wuauclt1.exe
iexpl0re.exe
cmmon32.exe
Servera.exe
Servere.exe
netstat.exe
procexp.exe
a2hijackfree.exe
Anti-keylogger.ex
ALiveCenter_.exe
AGuard_.exe
Agb5_.exe
asrupdate.exe
Asr.exe
AsrPro.exe
blbeta.exe
RegEdit.Com
tasklist.exe
mexe.com
ScanningProcess.exe
NEWTPro.exe
NEWTScanner.exe
Nsauditor.exe
TJEnder.exe
Remover.exe
IKernel.exe
XoftSpy.exe
WinPatrol.exe
WinPatrolEx.exe
UnlockerAssistant.exe
Trojan Guarder.exe
SUPERAntiSpyware.exe
scanner.exe
stinger.exe
sb32mon.exe
vs95NT.EXE
EspWatch.exe
magicsec.exe

Останавливает службы: 

wscsvc
SharedAccess

Извлекает из своего тела следующую библиотеку DLL: 

%Documents and Settings%\Local Settings\Temp\h.tmp

данный файл имеет размер 22528 байт и не определяется Антивирусом Касперского как вредоносный объект. При помощи извлеченной библиотеки троян устанавливает перехватчики событий от клавиатуры и следит за клавиатурным вводом пользователяв программе Mail.Ru Agent. Троян записывает кейлог для компьютеров, где в Mail.Ru Agent настроены учетные записи со следующими логинами: 

ais@darch.nnn.tstu.ru
aib@tsu.tmb.ru
ais@mail.nnn.tstu.ru
apiit@tsu.tmb.ru
artemov@tsu.tmb.ru
biblme@tsu.tmb.ru
bjd@tsu.tmb.ru
bmt@nnn.tstu.ru
brodovich@sir.tstu.ru
brusentsov@mail.nnn.tstu.ru
chemistry@nnn.tstu.ru
coord@coord.tstu.ru
crems@crems.jesby.tstu.ru
cybertech@jesby.tstu.ru
decan_hist@tsu.tmb.ru
dmitr2002@tsu.tmb.ru
dmsh@dmsh.nnn.tstu.ru
docc@asp.tstu.ru
eco@nnn.tstu.ru
egorov@mail.nnn.tstu.ru
elters@crimeinfo.jesby.tstu.ru
ernest@tsu.tmb.ru
feodorov@tsu.tmb.ru
fmf@tsu.tmb.ru
fmo@decin.tstu.ru
frolov@nnn.tstu.ru
frolow@mail.ahp.tstu.ru
galygin@nis.tstu.ru
gaps@gaps-gw.tstu.ru
gena@des.tstu.ru
golovin@tsu.tmb.ru
gromov@is.tstu.ru
helen@tsu.tmb.ru
hist@nnn.tstu.ru
intep@ng.nnn.tstu.ru
ipu@ahp.tstu.ru
ivolgin@tsu.tmb.ru
kafedra@asp.tstu.ru
kafedra@mail.gaps.tstu.ru
kalinin@nauka.tstu.ru
kalinin@nauka2.tstu.ru
kchic@kch.nnn.tstu.ru
ket@ket.nnn.tstu.ru
kmm@tsu.tmb.ru
korenkov@tsu.tmb.ru
kulikov@apmath.tstu.ru
kurs_podg@tsu.tmb.ru
kvidep@cen.tstu.ru
zheltov@tsu.tmb.ru
vk@midl.nnn.tstu.ru

кейлог сохраняется в следующий файл: 

%Temp%\keys.log

Троян ведет протокол своей работы в файле 

%Documents and Settings%\Local Settings\Temp\curse--<date>.tmp

где <date> - дата в формате dd-mm-yyyy При обнаружении в системе процессов из следующего списка: 

outpost.exe
avp.exe
FileMon.exe
avgupsvc.exe
avgamsvr.exe
avgemc.exe
avgcc.exe
avgwb.dat
AVGUARD.EXE
AVGNT.EXE
AVWIN.EXE
bdmcon.exe
bdagent.exe
bdss.exe
vsserv.exe
bdlite.exe
xcommsvr.exe
kfsnserv.exe
kfsensmonitor.exe
KillProcess.exe
lpfw.exe
McTskshd.exe
Mcdetect.exe
MpfTray.exe
MpfAgent.exe
MpfService.exe
mcagent.exe
mghtml.exe
mcdash.exe
UnaSvc.exe
Unamon.exe
AlogServ.exe
Avsynmgr.exe
VSStat.exe
VSHWIN32.EXE
Mcshield.exe
Avconsol.exe
VsMain.exe
sdhelp.exe
swdoctor.exe
Pavfires.exe
Pavsrv51.exe
Avengine.exe
Pavproxy.exe
Iface.exe
PAVJOBS.EXE
APVXDWIN.EXE
snsmcon.exe
safensec.exe
wlinject.exe
AAKSRV.EXE
FireWall.exe
cmdagent.exe
cpf.exe
jpfsrv.exe
jpf.exe
KAVPF.exe
kpf4gui.exe
lpfw.exe
ScanningProcess.exe
zlclient.exe
Monitor.exe
mantispm.exe
FileMonNT.exe
OllyDbg.EXE
Regmon.exe
RegMonNT.exe
spyxx.exe

троян прекращает любую активность. Создает ключ реестра, в котором хранит свои настройки: 

[HKCR\Software\Microsoft\Windows\CurrentVersion\Explorer\rm]

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи <Диспетчера задач> завершить вредоносный процесс.
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр в ключе системного реестра:
    4. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
RavAV=%System%\RavMon.exe
  4. Удалить ключ системного реестра:
    5. [HKCR\Software\Microsoft\Windows\CurrentVersion\Explorer\rm]
  5. Удалить файл:
    6. %System%\RavMon.exe
  6. Очистить папку %Temp%
Источник — «http://www.totalmalwareinfo.com/rus/Trojan.Win32.Delf.abx»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.