Trojan-Downloader.Win32.Delf.ia

Троянская программа, загружающая из интернета файлы без ведома пользователя. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер около 21 КБ. Упакована UPX. Размер распакованного файла — около 62 КБ.

Trojan-Downloader.Win32.Delf.ia («Лаборатория Касперского») также известен как: Trojan.DownLoader.1524 (Doctor Web), Win32/TrojanDownloader.Delf.NAJ (Eset)

Троянская программа, загружающая из интернета файлы без ведома пользователя. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер около 21 КБ. Упакована UPX. Размер распакованного файла — около 62 КБ.

После запуска троянец копирует себя в корневой каталог Windows с именем XPsys.exe:

 
 %Windir%\XPsys.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\policies\Explorer\Run]
  "XPsys"="%Windir%\XPsys.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца. Для изменения уровня защиты в Internet Explorer троянец изменяет следующие записи системного реестра:

 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\0]
  "1200"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\0]
  "1201"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\0]
  "1400"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\0]
  "1406"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\0]
  "1C00"=" "
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\1]
  "1200"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\1]
  "1406"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\1]
  "1C00"=" "
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\2]
  "1200"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\2]
  "1201"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\2]
  "1406"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\2]
  "1C00"=" "
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\3]
  "1200"="3"
 
 [HKCU\Software\Microsoft\Windows\
 CurrentVersion\Internet Settings\Zones\3]
  "1C00"=" "
 

Троянская программа имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. Файлы загружаются со следующего сервера:

http://24-7-search.com/zad/r**.php?

После загрузки файлы копируются в корневой каталог Windows и запускаются на исполнение.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.