Security Lab

Trojan-Downloader.Win32. Delf.sxr

Trojan-Downloader.Win32. Delf.sxr

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение.

Троянская программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение. Программа является приложением Windows (PE EXE-файл). Имеет размер 450522 байта. Написана на Delphi.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "avgsec.exe": 

  %System%\avgsec.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Corporation" = "%System%\avgsec.exe"

Деструктивная активность

Троянец подменяет файлы "hosts" и "lmhosts". Это приводит к неправильному переводу доменных имен в IP-адреса. Данные, которые будут внесены в эти файлы троянец получает с адреса:

http://211.99.150.***/icons/folder.sw.gif

На момент создания описания данные выглядели следующим образом:

127.0.0.1 localhost
83.240.39.133 www.bradesco.com.br
83.240.39.133 bradesco.com.br
83.240.39.133 bradesco.com
83.240.39.133 www.bradesco.com.br
83.240.39.133 www.santander.com.br
83.240.39.133 santander.com.br
83.240.39.133 www.banespa.com.br
83.240.39.133 banespa.com.br
83.240.39.133 www.caixa.gov.br
83.240.39.133 www.caixa.com.br
83.240.39.133 internetcaixa.caixa.gov.br
83.240.39.133 internetbanking.caixa.gov.br
83.240.39.133 internetcaixa.caixa.com.br
83.240.39.133 internetbaking.caixa.com.br
83.240.39.133 caixa.com.br
83.240.39.133 caixa.gov.br
83.240.39.133 cef.gov.br
83.240.39.133 cef.com.br
83.240.39.133 www.cef.gov.br
83.240.39.133 www.cef.com.br
83.240.39.133 www.itau.com.br
83.240.39.133 www.itau.com
83.240.39.133 itau.com
83.240.39.133 itau.com.br
83.240.39.133 www.bradescoprime.com.br
83.240.39.133 bradescoprime.com.br
83.240.39.133 www.unibanco.com.br
83.240.39.133 unibanco.com.br
83.240.39.133 www.americanexpress.com.br
83.240.39.133 americanexpress.com.br
83.240.39.133 www.itaupersonnalite.com.br
83.240.39.133 itaupersonnalite.com.br
83.240.39.133 www.e-gold.com.br
83.240.39.133 e-gold.com.br
83.240.39.133 www.banrisul.com.br
83.240.39.133 banrisul.com.br

Кроме этого троянец собирает сведения о системе и передает их в виде запроса на адрес:

www.jakna*****.com/lang/espanol.php

После чего завершает свою работу.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

Ждете, когда Google наконец уберет сторонние куки в Chrome? Придется потерпеть еще год

ЦБ РФ и Росфинмониторинг тестируют платформу для контроля криптовалютных операций

Как ученые готовятся к пугающе близкому сближению Апофиса с Землей

Пакистанские RAT-атаки на оборонный сектор Индии усиливаются в преддверии выборов

С тюремной шконки прямиком в веб-дизайн: HTML и CSS дарят заключённым билет в светлое будущее

Австралийские спецслужбы тонко намекают техсектору на необходимость внедрения скрытых бэкдоров

Больше никаких бесплатных игр: Steam закрывает лазейку для хитрых геймеров

20% энергии солнца в кармане: дроны с бесконечным полетом спешат на помощь

Свиньи спасли еще одну жизнь: женщине пересадили не только почку, но и насос для сердца