Trojan-Dropper.Win32.Delf.sq

Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение.

Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение. Является приложением Windows (PE EXE-файл). Размер зараженного файла — 1067060 байт.

При запуске программа извлекает из своего тела зашифрованный ZIP-архив и сохраняет его во временную папку Windows с именем tmpfile_xtrans.zip.enc:

       %Temp%\tmpfile_xtrans.zip.enc
 
После этого архив расшифровывается и переименовывается в tmpfile_xtrans.zip, затем его содержимое распаковывается в каталог %System%\Drivers. Архив содержит 2 файла:
  • msrcps32.exe (1284632 байта)
  • xtrans_config.ini (142 байта)
После этого троянец выполняет специальный скрипт установки из файла xtrans_config.ini, который запускает файл %System%\Drivers\msrcps32.exe на выполнение. После чего файл xtrans_config.ini удаляется.

Во временном каталоге создается и запускается файл uisXTR.bat, который удаляет ранее созданные трояном временные файлы.

Файл msrcps32.exe является троянским инсталлятором. При запуске эта программа извлекает из своего тела следующие файлы и сохраняет их в каталог %System%\inetsrv\:

 	dirchange.txt
 	dirchange.txt
 	JAstat.dll
 	JAstat.ini
 	JAstat.stats
 	libeay32.dll
 	login.txt
 	logoff.txt
 	msdtcdll.bin
 	msdtce.exe
 	read.txt
 	rules.txt
 	ServUCert.crt
 	ServUCert.key
 	ssleay32.dll
 	stat.txt
 	topdl.body
 	topdl.foot
 	topdl.head
 	topul.body
 	topul.foot
 	topul.head
 	ustat.txt
 	who.body
 	who.foot
         who.head
 
Создаваемые троянцем файлы являются компонентами вредоносной программы, определяемой Антивирусом Касперского как Backdoor.Win32.ServU-based.ad. После извлечения файлов программа-инсталлятор запускает на выполнение созданный файл msdtce.exe.

Так же инсталлятор создает следующие параметры в ключе автозагрузки системного реестра для автоматического запуска установленного троянского ПО при старте системы:

     [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
      "Microsoft Distributed Transaction"="%System%\inetsrv\msdtce.exe"
      "Microsoft Access Event"="%System%\Drivers\msrcps32.exe"