Security Lab

Trojan-Dropper.Win32.Delf.sq

Trojan-Dropper.Win32.Delf.sq

Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение.

Троянская программа. Без ведома пользователя устанавливает на его компьютер другое троянское программное обеспечение. Является приложением Windows (PE EXE-файл). Размер зараженного файла — 1067060 байт.

При запуске программа извлекает из своего тела зашифрованный ZIP-архив и сохраняет его во временную папку Windows с именем tmpfile_xtrans.zip.enc:

        %Temp%\tmpfile_xtrans.zip.enc
  
После этого архив расшифровывается и переименовывается в tmpfile_xtrans.zip, затем его содержимое распаковывается в каталог %System%\Drivers. Архив содержит 2 файла:
  • msrcps32.exe (1284632 байта)
  • xtrans_config.ini (142 байта)
После этого троянец выполняет специальный скрипт установки из файла xtrans_config.ini, который запускает файл %System%\Drivers\msrcps32.exe на выполнение. После чего файл xtrans_config.ini удаляется.

Во временном каталоге создается и запускается файл uisXTR.bat, который удаляет ранее созданные трояном временные файлы.

Файл msrcps32.exe является троянским инсталлятором. При запуске эта программа извлекает из своего тела следующие файлы и сохраняет их в каталог %System%\inetsrv\:

  	dirchange.txt
  	dirchange.txt
  	JAstat.dll
  	JAstat.ini
  	JAstat.stats
  	libeay32.dll
  	login.txt
  	logoff.txt
  	msdtcdll.bin
  	msdtce.exe
  	read.txt
  	rules.txt
  	ServUCert.crt
  	ServUCert.key
  	ssleay32.dll
  	stat.txt
  	topdl.body
  	topdl.foot
  	topdl.head
  	topul.body
  	topul.foot
  	topul.head
  	ustat.txt
  	who.body
  	who.foot
          who.head
  
Создаваемые троянцем файлы являются компонентами вредоносной программы, определяемой Антивирусом Касперского как Backdoor.Win32.ServU-based.ad. После извлечения файлов программа-инсталлятор запускает на выполнение созданный файл msdtce.exe.

Так же инсталлятор создает следующие параметры в ключе автозагрузки системного реестра для автоматического запуска установленного троянского ПО при старте системы:

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
       "Microsoft Distributed Transaction"="%System%\inetsrv\msdtce.exe"
       "Microsoft Access Event"="%System%\Drivers\msrcps32.exe"
  

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!