Security Lab

SpamTool.Win32.Delf.h

SpamTool.Win32.Delf.h

Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере.

SpamTool.Win32.Delf.h («Лаборатория Касперского») также известен как: Spam-SPM (McAfee), Trojan.MailSpam (Doctor Web), Troj/Spexta-A (Sophos), TROJ_DONBOMB.A (Trend Micro), TR/Londrop (H+BEDV), Trojan.DonBomb.A (SOFTWIN), Trj/Bobin.A (Panda), Win32/SpamTool.Delf.H (Eset)

Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер 82432 байта. Упакована UPX. Размер распакованного файла — 232448 байт.

Инсталляция

SpamTool.Win32.Delf.h может попасть на компьютеры пользователей в виде вложения в зараженные электронные письма.

Зараженные письма имеют следующие характеристики:

  Отправитель:
  
  CNN Newsletter
  
  Тема письма:
  
  TERROR HITS LONDON
  
  Имя файла-вложения:
  
  LondonTerrorMovie.zip

Данный архив содержит следующий файл:

London Terror Moovie.avi <много пробелов> Checked By Norton Antivirus.exe

После запуска вредоносная программа копирует себя в корневой каталог Windows с одним из следующих имен:

      * %Windir%\ctflog.exe
      * %Windir%\explore.exe
      * %Windir%\inetinfomon.exe
      * %Windir%\MPM.exe
      * %Windir%\service.exe
      * %Windir%\winlogon.exe
  

Для более сложного обнаружения созданный файл имеет следующие атрибуты: скрытый, системный, только чтение (Hidden, System, ReadOnly).

Затем SpamTool.Win32.Delf.h регистрирует себя в ключе автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "<имя созданного файла без расширения> manager" = "%Windir%\<имя файла>"
  

При каждой следующей загрузке Windows автоматически запустит вредоносный файл.

Действие

Данная программа может быть использована для рассылки спам сообщений на адреса электронной почты найденные на зараженном компьютере, а также на адреса электронной почты, которые произвольно комбинируются самой вредоносной программой из следующих составных частей:

  Имя:
  
      * about
      * abrupt
      * acetic
      * actinolite
      * Alana
      * Alexandria
      * Alvarado
      * anarch
      * apocryphal
      * blacksmith
      * blown
      * bolometer
      * Caldwell
      * Carlos
      * Carson
      * codfish
      * crystallite
      * Cummings
      * Curtis
      * dairymen
      * David
      * deducible
      * Dee
      * detour
      * diffusible
      * diurnal
      * Edward
      * Ellis
      * Fernandez
      * french
      * frostbite
      * Hillary
      * Hudson
      * hydrochemistry
      * Ivan
      * Jimenez
      * Kenneth
      * loretta
      * Luisa
      * mail-hub
      * mail-relay
      * Malinda
      * Mark
      * Martinez
      * Mccoy
      * Mckinney
      * mentor
      * Oliver
      * reactionary
      * relay
      * relay1
      * relay2
      * Ronald
      * Scott
      * Sharp
      * slovakia
      * Thomas
      * Torres
      * Victor
      * Wagner
      * Walton
      * Williams
      * wooden
      * zeus
  
  Домен:
  
      * @aol.com
      * @hotmail.com
      * @msn.com
      * @yahoo.com
  

Также вредоносная программа имеет функцию загрузки других файлов из интернета и запуска их на зараженном компьютере.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!