Trojan.Win32. Delf.abx

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 945664 байта. Ничем не упакована. Написана на Delphi.

Инсталляция

При запуске троянец копирует себя в следующие папки под следующими именами:

%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe
%Documents and Settings%\%user%\Start Menu\Programs\Startup\avp.exe
%System%\RavMon.exe

Троянец создает следующий ключ в системном реестре, в котором указаны данные инсталляции:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rm]

Также создает следующие значения:

 [HKCR\Software\Microsoft\Internet Account]
  "Expire Days" = "dword:8"
 
 [HKCR\Control Panel\Desktop]
  "AutoEndTasks" = "1"
 

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"RavAV" = "%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe"
"RavMon" = "%System%\RavMon.exe"

Деструктивная активность

Данная троянская програма представляет собой клавиатурный шпион с возможностью удаленного управления и функцией червя.

Вредоносная программа распространяется через сменные носители.

Копирует себя на сменный диск под именем RavMonE.exe и создает файл автозапуска autorun.inf, который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».

Троянец завершает следующие процессы, если такие присутствуют в системе:

 cmmon32.exe
 iexp1ore.exe
 IEXPL0RE.EXE
 iexpl0re.exe
 Logo1_.exe
 RUNDL132.EXE
 rundl132.exe
 Servera.exe
 Servere.exe
 SLcc.exe
 wuauclt1.exe

Данные процессы являются процессами других вредоносных программ.

Троянец устанавливает клавиатурный перехват, при помощи библиотеки, созданной троянцем во временном каталоге текущего пользователя Windows:

 %Temp%\h.tmp
 

Троян следит за клавиатурным вводом пользователя и сохраняет протокол в следующий файл:

 %Temp%\keys.log

Собранную информацию троянец отправляет на электронный адрес злоумышленника:

ais@darch***.ru
ais@mail***.ru
apiit@***tmb.ru
artemov@***tmb.ru
biblme@***tmb.ru
bjd@***tmb.ru
bmt@***.ru
brodovich@sir***.ru
brusentsov@mail***.ru
chemistry@***.ru
coord@coord***.ru
crems@crems.jesby***.ru
cybertech@jesby***.ru
decan_hist@***tmb.ru
dmitr2002@***tmb.ru
dmsh@dmsh***.ru
docc@asp***.ru
eco@nnn***.ru
egorov@mail***.ru
elters@crimeinfo.jesby***.ru
ernest@***tmb.ru
feodorov@***tmb.ru
fmf@***tmb.ru
fmo@decin***.ru
frolov@nnn***.ru
frolow@mail.ahp***.ru
galygin@nis***.ru
gaps@gaps-gw***.ru
gena@des***.ru
golovin@***tmb.ru
gromov@is***.ru
helen@***tmb.ru
hist@nnn***.ru
ibr@libr***.ru
intep@ng***.ru
ipu@ahp***.ru
ivolgin@***tmb.ru
kafedra@asp***.ru
kafedra@mail.gaps***.ru
kalinin@nauka***.ru
kalinin@nauka2***.ru
kchic@kch***.ru
ket@ket***.ru
kmm@***tmb.ru
korenkov@***tmb.ru
kulikov@apmath***.ru
kurs_podg@***tmb.ru
kvidep@cen***.ru
kvipri@ce***.ru
kyv@ahp***.ru
kzis@kzis***.ru
law@gis***.ru
litovka@mail.sapr***.ru
lopatin@***tmb.ru
lvi@gidra***.ru
malaschonok@math-iu***.ru
mmf@mmf***.ru
msh@msh3***.ru
nat@evro***.ru
ns@***tmb.ru
olga@nnn***.ru
olimp@olimp***.ru
oord@coord***.ru
phys@mail***.ru
phys@phys***.ru
polymers@asp***.ru
polymers@babylon.jesby***.ru
portal@tstu.ru
post@mcms***.ru
post@ums***.ru
ppc@ppc***.ru
pr@nnn***.ru
PR@PR***.ru
pvp@phys***.ru
quality@asp***.ru
rector@***tmb.ru
resbn@jesby***.ru
root@msh***.ru
root@msh3***.ru
root@phys***.ru
sekr@nnn***.ru
sekr1@mail***.ru
Shibkov@***tmb.ru
slava@ahp-gw***.ru
soprm@mail***.ru
sport@sportkaf***.ru
sss@nnn***.ru
studklub@show***.ru
szhulikov@***tmb.ru
tmm-dm@tmm-dm***.ru
tmmsii@tmmsii.jesby***.ru
tolmat@teorm***.ru
topt@topt***.ru
tso@almamater-tv***.ru
tso@mail***.ru
tva@ul***.ru
tyurin@***tmb.ru
u0077@pisetski***.ru
uaa@hmd***.ru
uhachov@***tmb.ru
umo@nnn***.ru
umo@umo***.ru
uov@pk***.ru
vat@dzs***.ru
vera@vera***.ru
vk@mail***.ru
vk@midl***.ru
zheltov@***tmb.ru

Также троянец ведет отладочный протокол своей работы в файле:

%Documents and Settings%\Local Settings\Temp\curse--.tmp
     

где — дата в формате dd-mm-yyyy

Троянец завершает следующие процессы, принадлежащие сетевым экранам и антивирусным программам:

 AAKSRV.EXE
 AlogServ.exe
 APVXDWIN.EXE
 Avconsol.exe
 Avengine.exe
 avgamsvr.exe
 avgcc.exe
 avgemc.exe
 AVGNT.EXE
 AVGUARD.EXE
 avgupsvc.exe
 avgwb.dat
 avp.exe
 Avsynmgr.exe
 AVWIN.EXE
 bdagent.exe
 bdlite.exe
 bdmcon.exe
 bdss.exe
 cmdagent.exe
 cpf.exe
 FileMon.exe
 FileMonNT.exe
 FireWall.exe
 Iface.exe
 jpf.exe
 jpfsrv.exe
 KAVPF.exe
 kfsensmonitor.exe
 kfsnserv.exe
 KillProcess.exe
 kpf4gui.exe
 lpfw.exe
 lpfw.exe
 mantispm.exe
 mcagent.exe
 mcdash.exe
 Mcdetect.exe
 Mcshield.exe
 McTskshd.exe
 mghtml.exe
 Monitor.exe
 MpfAgent.exe
 MpfService.exe
 MpfTray.exe
 OllyDbg.EXE
 outpost.exe
 Pavfires.exe
 PAVJOBS.EXE
 Pavproxy.exe
 Pavsrv51.exe
 Regmon.exe
 RegMonNT.exe
 safensec.exe
 ScanningProcess.exe
 sdhelp.exe
 snsmcon.exe
 spyxx.exe
 swdoctor.exe
 Unamon.exe
 UnaSvc.exe
 VSHWIN32.EXE
 VsMain.exe
 vsserv.exe
 VSStat.exe
 wlinject.exe
 xcommsvr.exe
 zlclient.exe
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.