Security Lab

Trojan-Dropper.Win32.Delf.sq

Trojan-Dropper.Win32.Delf.sq

Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение.

Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение – это набор команд, управляющих работой компьютера. Без программного обеспечения компьютер не сможет выполнять задачи, которые мы обычно связываем с компьютерами. Функции программного обеспечения следующие:

  1. управлять компьютерными ресурсами организации;
  2. обеспечивать пользователя всеми инструментами, необходимыми для извлечения пользы из этих ресурсов;
  3. выполнять роль посредника между организациями и хранимой информацией.

Выбор соответствующего потребностям организации программного обеспечения – одна из ключевых задач управляющего персонала.

Системы программирования обычно содержат:

  • трансляторы;
  • среду разработки программ;
  • библиотеки справочных программ (функций, процедур);
  • отладчики;
  • редакторы связей и др.
" data-html="true" data-original-title="Программное обеспечение" >программное обеспечение. Является приложением Windows (PE EXE-файл). Размер зараженного файла — 1067060 байт.

При запуске программа извлекает из своего тела зашифрованный ZIP-архив и сохраняет его во временную папку Windows с именем tmpfile_xtrans.zip.enc: 

        %Temp%\tmpfile_xtrans.zip.enc
После этого архив расшифровывается и переименовывается в tmpfile_xtrans.zip, затем его содержимое распаковывается в каталог %System%\Drivers. Архив содержит 2 файла:
  • msrcps32.exe (1284632 байта)
  • xtrans_config.ini (142 байта)
После этого троянец выполняет специальный скрипт установки из файла xtrans_config.ini, который запускает файл %System%\Drivers\msrcps32.exe на выполнение. После чего файл xtrans_config.ini удаляется.

Во временном каталоге создается и запускается файл uisXTR.bat, который удаляет ранее созданные трояном временные файлы.

Файл msrcps32.exe является троянским инсталлятором. При запуске эта программа извлекает из своего тела следующие файлы и сохраняет их в каталог %System%\inetsrv\: 

  	dirchange.txt
  	dirchange.txt
  	JAstat.dll
  	JAstat.ini
  	JAstat.stats
  	libeay32.dll
  	login.txt
  	logoff.txt
  	msdtcdll.bin
  	msdtce.exe
  	read.txt
  	rules.txt
  	ServUCert.crt
  	ServUCert.key
  	ssleay32.dll
  	stat.txt
  	topdl.body
  	topdl.foot
  	topdl.head
  	topul.body
  	topul.foot
  	topul.head
  	ustat.txt
  	who.body
  	who.foot
          who.head
Создаваемые троянцем файлы являются компонентами вредоносной программы, определяемой Антивирусом Касперского как Backdoor.Win32.ServU-based.ad. После извлечения файлов программа-инсталлятор запускает на выполнение созданный файл msdtce.exe.

Так же инсталлятор создает следующие параметры в ключе автозагрузки системного реестра для автоматического запуска установленного троянского ПО при старте системы: 

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
       "Microsoft Distributed Transaction"="%System%\inetsrv\msdtce.exe"
       "Microsoft Access Event"="%System%\Drivers\msrcps32.exe"
Никогда не сдавайтесь цифровому миру - подписывайтесь на наш канал и будьте на шаг впереди тотального контроля!

Новости по теме

Больница США протестировала нейросеть, которая делает заметки во время консультации с пациентом

Банковский троян Mispadu нацелен на Латинскую Америку: украдено более 90 000 учетных данных

Новый вредонос dotRunpeX способен доставлять обширный список зловредного ПО на целевые компьютеры

Неизвестный хакер украл личные данные клиентов Ferrari. Компания отказалась платить выкуп

Новая программа-вымогатель CatB использует DLL Hijacking для скрытного внедрения в целевые системы

Американские исследователи разработали «звуковой троян», направленный на голосовые ассистенты

Австралийский финтех отключился от сети и прекратил обслуживать клиентов из-за кибератаки

BreachForums перешёл в руки нового управленца после ареста Помпомпурина

Биткойн-банкоматы General Bytes взломаны: похищено 1,5 миллиона долларов