Trojan-Dropper.Win32.Delf.sq

Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение.

Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение. Является приложением Windows (PE EXE-файл). Размер зараженного файла — 1067060 байт.

При запуске программа извлекает из своего тела зашифрованный ZIP-архив и сохраняет его во временную папку Windows с именем tmpfile_xtrans.zip.enc:

      %Temp%\tmpfile_xtrans.zip.enc
После этого архив расшифровывается и переименовывается в tmpfile_xtrans.zip, затем его содержимое распаковывается в каталог %System%\Drivers. Архив содержит 2 файла:
  • msrcps32.exe (1284632 байта)
  • xtrans_config.ini (142 байта)
После этого троянец выполняет специальный скрипт установки из файла xtrans_config.ini, который запускает файл %System%\Drivers\msrcps32.exe на выполнение. После чего файл xtrans_config.ini удаляется.

Во временном каталоге создается и запускается файл uisXTR.bat, который удаляет ранее созданные трояном временные файлы.

Файл msrcps32.exe является троянским инсталлятором. При запуске эта программа извлекает из своего тела следующие файлы и сохраняет их в каталог %System%\inetsrv\:

	dirchange.txt
	dirchange.txt
	JAstat.dll
	JAstat.ini
	JAstat.stats
	libeay32.dll
	login.txt
	logoff.txt
	msdtcdll.bin
	msdtce.exe
	read.txt
	rules.txt
	ServUCert.crt
	ServUCert.key
	ssleay32.dll
	stat.txt
	topdl.body
	topdl.foot
	topdl.head
	topul.body
	topul.foot
	topul.head
	ustat.txt
	who.body
	who.foot
        who.head
Создаваемые троянцем файлы являются компонентами вредоносной программы, определяемой Антивирусом Касперского как Backdoor.Win32.ServU-based.ad. После извлечения файлов программа-инсталлятор запускает на выполнение созданный файл msdtce.exe.

Так же инсталлятор создает следующие параметры в ключе автозагрузки системного реестра для автоматического запуска установленного троянского ПО при старте системы:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
     "Microsoft Distributed Transaction"="%System%\inetsrv\msdtce.exe"
     "Microsoft Access Event"="%System%\Drivers\msrcps32.exe"