Trojan.Win32.Delf.cbbm

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру.

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 751725 байт. Написана на Delphi.


Деструктивная активность

После активации троянец соединяется с одним из следующих серверов злоумышленника:

cache.dyndns.tv  docs.dyndns.org  dns.dellsupports.com  krb.dellsupports.com  
На сервер злоумышленника передается следующая информация:
  • имя компьютера;
  • IP-адрес зараженной системы;
  • версия и название операционной системы;
  • список запущенных процессов в системе.
Информация о системе сохраняется в рабочем каталоге троянца под именем "log.dat":
%Work%\log.dat
Троянец копирует свое тело в следующие каталоги клиента терминального сервера (Terminal Server Client):
\\tsclient\%WinDir%\SysWoW64\<оригинальное имя троянской программы>.dll  \\tsclient\%System%\<оригинальное имя троянской программы>.dll  
Троянец создает SQL таблицу с именем "siweb3file", в которой хранит команды для запуска. При помощи данных команд троянец создает задание с именем "abc82", которое позволяет получить злоумышленнику доступ к командному интерпретатору на зараженной системе. Список команд может обновляется с серверов злоумышленника. На момент создания описания вышеуказанные сервера не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.