Trojan.Win32.Delf.cbbm

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 751725 байт. Написана на Delphi.


Деструктивная активность

После активации троянец соединяется с одним из следующих серверов злоумышленника:

cache.dyndns.tv  docs.dyndns.org  dns.dellsupports.com  krb.dellsupports.com  
На сервер злоумышленника передается следующая информация:
  • имя компьютера;
  • IP-адрес зараженной системы;
  • версия и название операционной системы;
  • список запущенных процессов в системе.
Информация о системе сохраняется в рабочем каталоге троянца под именем "log.dat":
%Work%\log.dat
Троянец копирует свое тело в следующие каталоги клиента терминального сервера (Terminal Server Client):
\\tsclient\%WinDir%\SysWoW64\<оригинальное имя троянской программы>.dll  \\tsclient\%System%\<оригинальное имя троянской программы>.dll  
Троянец создает SQL таблицу с именем "siweb3file", в которой хранит команды для запуска. При помощи данных команд троянец создает задание с именем "abc82", которое позволяет получить злоумышленнику доступ к командному интерпретатору на зараженной системе. Список команд может обновляется с серверов злоумышленника. На момент создания описания вышеуказанные сервера не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.