Trojan-Downloader. Win32.Delf.cfo

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Является приложением Windows (PE-EXE файл). Имеет размер 133120 байт.

Инсталляция

После запуска троянец копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\iexplorer.exe

Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IE" = "%WinDir%\iexplorer.exe"

Также троянец добавляет правило в брандмауэр Windows, которое разрешает любую сетевую активность для вредоносного процесса.

Деструктивная активность

Троянец скачивает файлы по следующим ссылкам:

http://www.site*****.com/top7_1.gif
http://www.site*****.com/top7_2.gif
http://www.sugo*****.kr/bbs/icon/private_name/top7_1.gif
http://www.sugo*****.kr/bbs/icon/private_name/top7_2.gif

На момент создания описания ни одна из ссылок не работала.

Скачанные файлы сохраняются под следующими именами:

C:\Documents and Settings\All Users\winsql.dat
C:\Documents and Settings\All Users\DirectX.aud
C:\Documents and Settings\All Users\services.exe
C:\Documents and Settings\All Users\comctl64.dll

В случае успешной загрузки файлы запускаются на выполнение.

Также троянец открывает следующую ссылку без ведома пользователя:

http://pag*****.terra.com.br/arte/sonhosepoemas/paixao/cartao059.htm