SpamTool.Win32.Delf.h

Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере.

SpamTool.Win32.Delf.h («Лаборатория Касперского») также известен как: Spam-SPM (McAfee), Trojan.MailSpam (Doctor Web), Troj/Spexta-A (Sophos), TROJ_DONBOMB.A (Trend Micro), TR/Londrop (H+BEDV), Trojan.DonBomb.A (SOFTWIN), Trj/Bobin.A (Panda), Win32/SpamTool.Delf.H (Eset)

Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер 82432 байта. Упакована UPX. Размер распакованного файла — 232448 байт.

Инсталляция

SpamTool.Win32.Delf.h может попасть на компьютеры пользователей в виде вложения в зараженные электронные письма.

Зараженные письма имеют следующие характеристики:

 Отправитель:
 
 CNN Newsletter
 
 Тема письма:
 
 TERROR HITS LONDON
 
 Имя файла-вложения:
 
 LondonTerrorMovie.zip

Данный архив содержит следующий файл:

London Terror Moovie.avi <много пробелов> Checked By Norton Antivirus.exe

После запуска вредоносная программа копирует себя в корневой каталог Windows с одним из следующих имен:

     * %Windir%\ctflog.exe
     * %Windir%\explore.exe
     * %Windir%\inetinfomon.exe
     * %Windir%\MPM.exe
     * %Windir%\service.exe
     * %Windir%\winlogon.exe
 

Для более сложного обнаружения созданный файл имеет следующие атрибуты: скрытый, системный, только чтение (Hidden, System, ReadOnly).

Затем SpamTool.Win32.Delf.h регистрирует себя в ключе автозапуска системного реестра:

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "<имя созданного файла без расширения> manager" = "%Windir%\<имя файла>"
 

При каждой следующей загрузке Windows автоматически запустит вредоносный файл.

Действие

Данная программа может быть использована для рассылки спам сообщений на адреса электронной почты найденные на зараженном компьютере, а также на адреса электронной почты, которые произвольно комбинируются самой вредоносной программой из следующих составных частей:

 Имя:
 
     * about
     * abrupt
     * acetic
     * actinolite
     * Alana
     * Alexandria
     * Alvarado
     * anarch
     * apocryphal
     * blacksmith
     * blown
     * bolometer
     * Caldwell
     * Carlos
     * Carson
     * codfish
     * crystallite
     * Cummings
     * Curtis
     * dairymen
     * David
     * deducible
     * Dee
     * detour
     * diffusible
     * diurnal
     * Edward
     * Ellis
     * Fernandez
     * french
     * frostbite
     * Hillary
     * Hudson
     * hydrochemistry
     * Ivan
     * Jimenez
     * Kenneth
     * loretta
     * Luisa
     * mail-hub
     * mail-relay
     * Malinda
     * Mark
     * Martinez
     * Mccoy
     * Mckinney
     * mentor
     * Oliver
     * reactionary
     * relay
     * relay1
     * relay2
     * Ronald
     * Scott
     * Sharp
     * slovakia
     * Thomas
     * Torres
     * Victor
     * Wagner
     * Walton
     * Williams
     * wooden
     * zeus
 
 Домен:
 
     * @aol.com
     * @hotmail.com
     * @msn.com
     * @yahoo.com
 

Также вредоносная программа имеет функцию загрузки других файлов из интернета и запуска их на зараженном компьютере.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.