Trojan-Dropper.Win32.Delf.se

Троянская программа, создана для скрытной установки в систему других файлов и программ. Основной файл является приложением Windows (PE EXE-файл), написан на языке Delphi. Имеет размер около 142 КБ. Упакован UPX. Размер распакованного файла — около 223 КБ.

Троянская программа, создана для скрытной установки в систему других файлов и программ. Основной файл является приложением Windows (PE EXE-файл), написан на языке Delphi. Имеет размер около 142 КБ. Упакован UPX. Размер распакованного файла — около 223 КБ.

Троянская программа при запуске скрытно устанавливает в корневой каталог Windows следующий файл:

%Windir%\inst_cassovia_apps.exe

Также создется файл с именем svchost.exe в следующей папке:

%Program Files%\Common Files\Microsoft Shared\MSInfo\svchost.exe

Созданные файлы детектируются Антивирусом Касперского как not-a-virus:AdWare.Win32.BargainBuddy.ak.

Затем данные файлы запускаются на исполнение.

Также троянец выгружает из памяти процессы, имена которых попадают в следующий список:

APVXDWIN.EXE
 ashDisp.exe
 aswUpdSv
 avast! Antivirus
 avast! Mail Scanner
 avast! Web Scanner
 AVENGINE.EXE
 AvltMain.exe
 BackWeb Plug-in - 4476822
 bdmcon.exe
 bdnagent.exe
 bdoesrv.exe
 BGLiveSvc
 BlackICE
 blackice.exe
 bullguard.exe
 CAISafe
 ccApp.exe
 ccEvtMgr
 ccProxy
 ccSetMgr
 FAMEH32.EXE
 FCH32.EXE
 F-Prot Antivirus Update Monitor
 FSAV32.exe
 FSAW.exe
 fsbwsys
 F-Sched.exe
 F-Secure Gatekeeper Handler Starter
 fsgk32.exe
 fsguidll.exe
 fshttps
 FSM32.exe
 FSMB32.EXE
 fspc.exe
 fspex.exe
 fsqh.exe
 FSRW.exe
 fssm32.exe
 fssw.exe
 F-StopW.exe
 InoTask
 ispnews.exe
 KAVPF.exe
 kpf4gui.exe
 LavasoftFirewall
 lpfw.exe
 LUCOMS~1.EXE
 mantispm.exe
 McAfeeFramework
 McShield
 McTaskManager
 naPrdMgr.exe
 navapsvc
 NMain.exe
 NOD32krn
 nod32kui.exe
 NPFMntor
 NSCService
 Outpost Firewall main module
 outpost.exe
 OutpostFirewall
 PAVFIRES
 PAVFNSVR
 PavProt
 PavPrSrv
 pccguide.exe
 PCCMAIN.EXE
 PcCtlCom
 PersonalFirewal
 PREVSRV
 ProtoPort Firewall service
 PSIMSVC
 realmon.exe
 SHSTAT.EXE
 SmcService
 SNDSrvc
 SPBBCSvc
 Symantec Core LC
 SyncEvnt.exe
 TBMon.exe
 Tmntsrv
 tmproxy
 UmxAgent
 UmxTray.exe
 UpdaterUI.exe
 WebProxy.exe
 WebrootDesktopFirewall.exe
 WebrootDesktopFirewallDataService
 WebrootFirewall
 zlclient.exe
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.