Trojan.Win32. Delf.abx

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 945664 байта. Ничем не упакована. Написана на Delphi.

Инсталляция

При запуске троянец копирует себя в следующие папки под следующими именами:

%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe
%Documents and Settings%\%user%\Start Menu\Programs\Startup\avp.exe
%System%\RavMon.exe

Троянец создает следующий ключ в системном реестре, в котором указаны данные инсталляции:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rm]

Также создает следующие значения:

[HKCR\Software\Microsoft\Internet Account]
 "Expire Days" = "dword:8"

[HKCR\Control Panel\Desktop]
 "AutoEndTasks" = "1"

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"RavAV" = "%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe"
"RavMon" = "%System%\RavMon.exe"

Деструктивная активность

Данная троянская програма представляет собой клавиатурный шпион с возможностью удаленного управления и функцией червя.

Вредоносная программа распространяется через сменные носители.

Копирует себя на сменный диск под именем RavMonE.exe и создает файл автозапуска autorun.inf, который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».

Троянец завершает следующие процессы, если такие присутствуют в системе:

cmmon32.exe
iexp1ore.exe
IEXPL0RE.EXE
iexpl0re.exe
Logo1_.exe
RUNDL132.EXE
rundl132.exe
Servera.exe
Servere.exe
SLcc.exe
wuauclt1.exe

Данные процессы являются процессами других вредоносных программ.

Троянец устанавливает клавиатурный перехват, при помощи библиотеки, созданной троянцем во временном каталоге текущего пользователя Windows:

%Temp%\h.tmp

Троян следит за клавиатурным вводом пользователя и сохраняет протокол в следующий файл:

%Temp%\keys.log

Собранную информацию троянец отправляет на электронный адрес злоумышленника:

ais@darch***.ru
ais@mail***.ru
apiit@***tmb.ru
artemov@***tmb.ru
biblme@***tmb.ru
bjd@***tmb.ru
bmt@***.ru
brodovich@sir***.ru
brusentsov@mail***.ru
chemistry@***.ru
coord@coord***.ru
crems@crems.jesby***.ru
cybertech@jesby***.ru
decan_hist@***tmb.ru
dmitr2002@***tmb.ru
dmsh@dmsh***.ru
docc@asp***.ru
eco@nnn***.ru
egorov@mail***.ru
elters@crimeinfo.jesby***.ru
ernest@***tmb.ru
feodorov@***tmb.ru
fmf@***tmb.ru
fmo@decin***.ru
frolov@nnn***.ru
frolow@mail.ahp***.ru
galygin@nis***.ru
gaps@gaps-gw***.ru
gena@des***.ru
golovin@***tmb.ru
gromov@is***.ru
helen@***tmb.ru
hist@nnn***.ru
ibr@libr***.ru
intep@ng***.ru
ipu@ahp***.ru
ivolgin@***tmb.ru
kafedra@asp***.ru
kafedra@mail.gaps***.ru
kalinin@nauka***.ru
kalinin@nauka2***.ru
kchic@kch***.ru
ket@ket***.ru
kmm@***tmb.ru
korenkov@***tmb.ru
kulikov@apmath***.ru
kurs_podg@***tmb.ru
kvidep@cen***.ru
kvipri@ce***.ru
kyv@ahp***.ru
kzis@kzis***.ru
law@gis***.ru
litovka@mail.sapr***.ru
lopatin@***tmb.ru
lvi@gidra***.ru
malaschonok@math-iu***.ru
mmf@mmf***.ru
msh@msh3***.ru
nat@evro***.ru
ns@***tmb.ru
olga@nnn***.ru
olimp@olimp***.ru
oord@coord***.ru
phys@mail***.ru
phys@phys***.ru
polymers@asp***.ru
polymers@babylon.jesby***.ru
portal@tstu.ru
post@mcms***.ru
post@ums***.ru
ppc@ppc***.ru
pr@nnn***.ru
PR@PR***.ru
pvp@phys***.ru
quality@asp***.ru
rector@***tmb.ru
resbn@jesby***.ru
root@msh***.ru
root@msh3***.ru
root@phys***.ru
sekr@nnn***.ru
sekr1@mail***.ru
Shibkov@***tmb.ru
slava@ahp-gw***.ru
soprm@mail***.ru
sport@sportkaf***.ru
sss@nnn***.ru
studklub@show***.ru
szhulikov@***tmb.ru
tmm-dm@tmm-dm***.ru
tmmsii@tmmsii.jesby***.ru
tolmat@teorm***.ru
topt@topt***.ru
tso@almamater-tv***.ru
tso@mail***.ru
tva@ul***.ru
tyurin@***tmb.ru
u0077@pisetski***.ru
uaa@hmd***.ru
uhachov@***tmb.ru
umo@nnn***.ru
umo@umo***.ru
uov@pk***.ru
vat@dzs***.ru
vera@vera***.ru
vk@mail***.ru
vk@midl***.ru
zheltov@***tmb.ru

Также троянец ведет отладочный протокол своей работы в файле:

%Documents and Settings%\Local Settings\Temp\curse--.tmp
    

где — дата в формате dd-mm-yyyy

Троянец завершает следующие процессы, принадлежащие сетевым экранам и антивирусным программам:

AAKSRV.EXE
AlogServ.exe
APVXDWIN.EXE
Avconsol.exe
Avengine.exe
avgamsvr.exe
avgcc.exe
avgemc.exe
AVGNT.EXE
AVGUARD.EXE
avgupsvc.exe
avgwb.dat
avp.exe
Avsynmgr.exe
AVWIN.EXE
bdagent.exe
bdlite.exe
bdmcon.exe
bdss.exe
cmdagent.exe
cpf.exe
FileMon.exe
FileMonNT.exe
FireWall.exe
Iface.exe
jpf.exe
jpfsrv.exe
KAVPF.exe
kfsensmonitor.exe
kfsnserv.exe
KillProcess.exe
kpf4gui.exe
lpfw.exe
lpfw.exe
mantispm.exe
mcagent.exe
mcdash.exe
Mcdetect.exe
Mcshield.exe
McTskshd.exe
mghtml.exe
Monitor.exe
MpfAgent.exe
MpfService.exe
MpfTray.exe
OllyDbg.EXE
outpost.exe
Pavfires.exe
PAVJOBS.EXE
Pavproxy.exe
Pavsrv51.exe
Regmon.exe
RegMonNT.exe
safensec.exe
ScanningProcess.exe
sdhelp.exe
snsmcon.exe
spyxx.exe
swdoctor.exe
Unamon.exe
UnaSvc.exe
VSHWIN32.EXE
VsMain.exe
vsserv.exe
VSStat.exe
wlinject.exe
xcommsvr.exe
zlclient.exe