Trojan-Dropper.Win32.Delf.sq
Trojan-Dropper.Win32.Delf.sq
Alexander Antipov
Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение.
Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение. Является приложением Windows (PE EXE-файл). Размер зараженного файла — 1067060 байт.
При запуске программа извлекает из своего тела зашифрованный ZIP-архив и сохраняет его во временную папку Windows с именем tmpfile_xtrans.zip.enc:
%Temp%\tmpfile_xtrans.zip.enc
После этого архив расшифровывается и переименовывается в tmpfile_xtrans.zip, затем его содержимое распаковывается в каталог %System%\Drivers. Архив содержит 2 файла:
- msrcps32.exe (1284632 байта)
- xtrans_config.ini (142 байта)
Во временном каталоге создается и запускается файл uisXTR.bat, который удаляет ранее созданные трояном временные файлы.
Файл msrcps32.exe является троянским инсталлятором. При запуске эта программа извлекает из своего тела следующие файлы и сохраняет их в каталог %System%\inetsrv\:
dirchange.txt
dirchange.txt
JAstat.dll
JAstat.ini
JAstat.stats
libeay32.dll
login.txt
logoff.txt
msdtcdll.bin
msdtce.exe
read.txt
rules.txt
ServUCert.crt
ServUCert.key
ssleay32.dll
stat.txt
topdl.body
topdl.foot
topdl.head
topul.body
topul.foot
topul.head
ustat.txt
who.body
who.foot
who.head
Создаваемые троянцем файлы являются компонентами вредоносной программы, определяемой Антивирусом Касперского как Backdoor.Win32.ServU-based.ad. После извлечения файлов программа-инсталлятор запускает на выполнение созданный файл msdtce.exe.
Так же инсталлятор создает следующие параметры в ключе автозагрузки системного реестра для автоматического запуска установленного троянского ПО при старте системы:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Distributed Transaction"="%System%\inetsrv\msdtce.exe"
"Microsoft Access Event"="%System%\Drivers\msrcps32.exe"