Trojan-Downloader.Win32.Delf.bn

роянская программа выполняется на операционных системах Windows. Представляет собой HTML-страницу. Размер файла — 45699 байт. Содержит JavaScript, использующий уязвимость в Microsoft Internet Explorer 5.01, 5.5 и 6.0, известную как Local Executable Invocation via Object tag (MS02-015).

Первоначально данный троянец был разослан при помощи спам-рассылки.

В начале HTML-файла находится архив с троянской программой, имеющий формат Microsoft Cabinet.

Находящаяся в архиве троянская программа представляет собой исполняемый PE EXE-файл. Написана на языке Delphi. Имеет размер 67073 байта.

Инсталляция

Скрипт страницы содержит обработчик события загрузки страницы, который каждые полсекунды вызывает функцию, внедряющую трояна в систему. Троянский код ждет пока браузер перейдет в автономномный режим, после чего создает новое окно с координатами -10000, -10000. В окне открывается страница с помещенным на ней троянским ActiveX-компонетом.

Программа установки ActiveX-компонентов распаковывает из содержащегося в веб-странице архива файл totalworm.dll во временную папку «%Windir%\Downloaded Program Files», после чего загружает и регистрирует в системе содержащийся в нем ActiveX-компонент. Файл totalworm.dll имеет размер 85504 байта и является динамической библиотекой Windows. При загрузке этой библиотеки она дешифрует встроенный в нее EXE-файл и сохраняет его в системный каталог Windows с именем systemxp.exe (размер 67073 байт):

%System%\systemxp.exe

После чего данный файл запускается на исполнение и регистрирует себя в ключе автозапуска системного реестра:

 
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Systemxp"="%System%\systemxp.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец изменяет следующую запись в системном реестре, чтобы заблокировать работу с системным реестром Windows:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   "DisableRegistryTools"="1"
  

Деструктивная активность

Троянец пытается установить соединение с интернетом используя функции библиотеки wininet:

1. Инициализирует интернет соединение случайным образом, выбирая тип подключения «direct» или используя системные настройки.

2. Запускает поток, который в цикле 300 раз с задержкой 10 миллисекунд ищет в системе диалог дозвона к интернету, если находит — скрывает его и имитирует нажатие на кнопку дозвона.

3. Пытается связаться с адресом http://www.google.com, после этого делает задержку в 5 минут и повторяет попытку.

Если удается соединиться с интернетом, программа открывает следующий URL:

http://www.***ivizion1.wz.cz/echo.php

Далее троянец пытается выполнить загрузку других файлов из интернета.

При успешном соединении с интернетом троянец открывает следующий URL:

http://www.***ivizion1.wz.cz/isexe.php

и ждет ответа от сервера. Если возвращается строка «ok», то троянец удаляет файл sys9x1old.exe из системного каталога Windows, если такой существует. Если в системном каталоге ОС существует файл sys9x1.exe, троянец переименовывает его в sys9x1old.exe.

После чего троянец соединяется со следующим URL:

http://www.***ivizion1.wz.cz/getexefile.php

принимает данные с сервера и записывает их в файл sys9x1.exe расположенный в системном каталоге ОС.

После окончания приема данных запускает этот файл на выполнение.

Также при определенных условиях троянец блокирует работу с диспетчером задач Windows.