SpamTool.Win32.Delf.h

Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере.

SpamTool.Win32.Delf.h («Лаборатория Касперского») также известен как: Spam-SPM (McAfee), Trojan.MailSpam (Doctor Web), Troj/Spexta-A (Sophos), TROJ_DONBOMB.A (Trend Micro), TR/Londrop (H+BEDV), Trojan.DonBomb.A (SOFTWIN), Trj/Bobin.A (Panda), Win32/SpamTool.Delf.H (Eset)

Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер 82432 байта. Упакована UPX. Размер распакованного файла — 232448 байт.

Инсталляция

SpamTool.Win32.Delf.h может попасть на компьютеры пользователей в виде вложения в зараженные электронные письма.

Зараженные письма имеют следующие характеристики:

Отправитель:

CNN Newsletter

Тема письма:

TERROR HITS LONDON

Имя файла-вложения:

LondonTerrorMovie.zip

Данный архив содержит следующий файл:

London Terror Moovie.avi <много пробелов> Checked By Norton Antivirus.exe

После запуска вредоносная программа копирует себя в корневой каталог Windows с одним из следующих имен:

    * %Windir%\ctflog.exe
    * %Windir%\explore.exe
    * %Windir%\inetinfomon.exe
    * %Windir%\MPM.exe
    * %Windir%\service.exe
    * %Windir%\winlogon.exe

Для более сложного обнаружения созданный файл имеет следующие атрибуты: скрытый, системный, только чтение (Hidden, System, ReadOnly).

Затем SpamTool.Win32.Delf.h регистрирует себя в ключе автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "<имя созданного файла без расширения> manager" = "%Windir%\<имя файла>"

При каждой следующей загрузке Windows автоматически запустит вредоносный файл.

Действие

Данная программа может быть использована для рассылки спам сообщений на адреса электронной почты найденные на зараженном компьютере, а также на адреса электронной почты, которые произвольно комбинируются самой вредоносной программой из следующих составных частей:

Имя:

    * about
    * abrupt
    * acetic
    * actinolite
    * Alana
    * Alexandria
    * Alvarado
    * anarch
    * apocryphal
    * blacksmith
    * blown
    * bolometer
    * Caldwell
    * Carlos
    * Carson
    * codfish
    * crystallite
    * Cummings
    * Curtis
    * dairymen
    * David
    * deducible
    * Dee
    * detour
    * diffusible
    * diurnal
    * Edward
    * Ellis
    * Fernandez
    * french
    * frostbite
    * Hillary
    * Hudson
    * hydrochemistry
    * Ivan
    * Jimenez
    * Kenneth
    * loretta
    * Luisa
    * mail-hub
    * mail-relay
    * Malinda
    * Mark
    * Martinez
    * Mccoy
    * Mckinney
    * mentor
    * Oliver
    * reactionary
    * relay
    * relay1
    * relay2
    * Ronald
    * Scott
    * Sharp
    * slovakia
    * Thomas
    * Torres
    * Victor
    * Wagner
    * Walton
    * Williams
    * wooden
    * zeus

Домен:

    * @aol.com
    * @hotmail.com
    * @msn.com
    * @yahoo.com

Также вредоносная программа имеет функцию загрузки других файлов из интернета и запуска их на зараженном компьютере.