Trojan-Dropper.Win32.Delf.se

Троянская программа, создана для скрытной установки в систему других файлов и программ. Основной файл является приложением Windows (PE EXE-файл), написан на языке Delphi. Имеет размер около 142 КБ. Упакован UPX. Размер распакованного файла — около 223 КБ.

Троянская программа при запуске скрытно устанавливает в корневой каталог Windows следующий файл:

Также создется файл с именем svchost.exe в следующей папке:

Созданные файлы детектируются Антивирусом Касперского как not-a-virus:AdWare.Win32.BargainBuddy.ak.

Затем данные файлы запускаются на исполнение.

Также троянец выгружает из памяти процессы, имена которых попадают в следующий список:

APVXDWIN.EXE
  ashDisp.exe
  aswUpdSv
  avast! Antivirus
  avast! Mail Scanner
  avast! Web Scanner
  AVENGINE.EXE
  AvltMain.exe
  BackWeb Plug-in - 4476822
  bdmcon.exe
  bdnagent.exe
  bdoesrv.exe
  BGLiveSvc
  BlackICE
  blackice.exe
  bullguard.exe
  CAISafe
  ccApp.exe
  ccEvtMgr
  ccProxy
  ccSetMgr
  FAMEH32.EXE
  FCH32.EXE
  F-Prot Antivirus Update Monitor
  FSAV32.exe
  FSAW.exe
  fsbwsys
  F-Sched.exe
  F-Secure Gatekeeper Handler Starter
  fsgk32.exe
  fsguidll.exe
  fshttps
  FSM32.exe
  FSMB32.EXE
  fspc.exe
  fspex.exe
  fsqh.exe
  FSRW.exe
  fssm32.exe
  fssw.exe
  F-StopW.exe
  InoTask
  ispnews.exe
  KAVPF.exe
  kpf4gui.exe
  LavasoftFirewall
  lpfw.exe
  LUCOMS~1.EXE
  mantispm.exe
  McAfeeFramework
  McShield
  McTaskManager
  naPrdMgr.exe
  navapsvc
  NMain.exe
  NOD32krn
  nod32kui.exe
  NPFMntor
  NSCService
  Outpost Firewall main module
  outpost.exe
  OutpostFirewall
  PAVFIRES
  PAVFNSVR
  PavProt
  PavPrSrv
  pccguide.exe
  PCCMAIN.EXE
  PcCtlCom
  PersonalFirewal
  PREVSRV
  ProtoPort Firewall service
  PSIMSVC
  realmon.exe
  SHSTAT.EXE
  SmcService
  SNDSrvc
  SPBBCSvc
  Symantec Core LC
  SyncEvnt.exe
  TBMon.exe
  Tmntsrv
  tmproxy
  UmxAgent
  UmxTray.exe
  UpdaterUI.exe
  WebProxy.exe
  WebrootDesktopFirewall.exe
  WebrootDesktopFirewallDataService
  WebrootFirewall
  zlclient.exe