Trojan.Win32.Delf.kf

Троянская программа, изменяющая настройки клиента файлообменной сети Winny с целью открытия общего доступа к пользовательским файлам на зараженном компьютере.

Троянская программа, изменяющая настройки клиента файлообменной сети Winny с целью открытия общего доступа к пользовательским файлам на зараженном компьютере.

Представляет собой Windows PE EXE-файл. Имеет размер 199241 байт. Упакована FSG. Размер в распакованном виде — около 700 КБ.

После запуска троянская программа выдает сообщение об ошибке, содержащее текст на японском языке.

При инсталляции троянец копирует себя с именем host.exe в следующий каталог:

%System%\drivers\host.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"host"="%System%\drivers\host.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Троянец изменяет файл UpFolder.txt в каталоге клиента сети Winny. В данном конфигурационном файле содержатся пути к файлам, которые будут открыты на общий доступ.

Троянец добавляет в файл UpFolder.txt пути к каталогам, содержащим файлы со следующими расширениями:

asf avi bak BAK bas BAS bat BAT bin BIN bmp BMP cab CAB cfg CFG chm CHM class CLASS com COM cpp CPP dat DAT dll DLL exe EXE frm FRM gca GCA gif GIF hlp HLP htm HTM html HTML img IMG inf INF ini INI iso ISO java JAVA jpg js JS jse JSE lnk LNK log LOG lzh LZH mov mp3 MP3 mpg ocx OCX ogm OGM pas PAS png PNG ra RA ram RAM rar RAR reg REG rm RM scr SCR swf SWF sys SYS TXT txt url URL vbp VBP vbs VBS vbw VBW vob VOB wav WAV wma WMA wmv WMV xml XML zip ZIP

Также троянец открывает доступ к каталогам со следующими именами:

.FILES \BIN \C#\ \C\ \C++\ \CPP\ \DEMO\ \DRM \INCLUDE \LIB \LOTUS\ \VB\ _TS ALBUM AMPLE APACHE APP AUDIO BGM BOOK CABOS CACHE CAD CANON CASHE COMMON CONFIG COOKIES DELPHI DISK DIVX DOWN DRIVERS DRV DVD EPSON FJUTY FONT GAME GBA GIGA POCKET HELP HOMEPAGE I386 ICON ITUNES JAVA JUST KEYGEN LIMEWIRE LOCAL MANUAL MUSIC MY PICTURES\NENNGA N64 NES NIS OPTION PIFMAE PLAYER PLUGIN PRINT PROGRAM PS2 README RECENT RECYCLE SENDTO SERIAL SERVICE SINGLE SKIN SOFT SONICSTAGE SOUND SOURCE SYSTEM TANKEN TEMP TMP TOOL TORRENT TOSUTILS USERDATA VALUE VIDEO VISUAL WINNY XBOX YAHOO YOUGO

Также открывается доступ к некоторым каталогам, имена которых содержат японские символы.

Затем троянец сканирует следующие ключи системного реестра в поиске электронного адреса пользователя зараженного компьютера:

[HKCU\Software\Microsoft\Internet Account Manager\Default Mail Account]
[HKCU\Software\Microsoft\Internet Account Manager\Accounts\SMTP Email Address]

После чего троянец создает следующий файл в корне диска C:\

C:\<строка японских символов> UpFolder<дата запуска троянца><электронный адрес пользователя>

Также троянец изменяет файл %Windir%\system.ini, добавляя в него следующие строки:

[UPALL]
ID=[EMAIL ADDRESS]