Backdoor.Win32. Delf.asw

Троянская программа, позволяющая злоумышленнику удалённо выполнять операции на компьютере пользователя, выполняя управление по протоколам IRC и FTP.

Программа является приложением Windows (PE EXE-файл). Имеет размер 355305 байт, упакована FSG, размер распакованного файла — около 1200 КБ. Написана на Borland Delphi.

Предположительно создана в СНГ, так как содержит строки на русском языке.

Инсталляция

После запуска бекдор создает свою копию с именем lexplorer.exe в следующей папке:

%Program Files%\Win\Default\lexplorer.exe

Затем он прописывает свою копию в следующем ключе системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
 "SysUtilits"="%Program Files%\Win\Default\lexplorer.exe"

Деструктивная активность

Бекдор устанавливает соединение с IRC-сервером, после чего злоумышленнику становятся доступными следующие команды:

!death43260 	Удаление автозапуска из реестра
!update 	Обновление версии бекдора (загружается файл с именем lexplorer1.exe с указанного злоумышленником 
 адреса и запускается на исполнение, при этом файл «%Program Files%\Win\Default\lexplorer.exe» удаляется).
!download 	Загрузка указанного файла и его запуск как file.exe
!reconnect 	Перезапуск IRC-соединения
!sms 	Отсылка SMS сообщения через сервис http://www.dti.ru
!ping 	Пинг указанного компьютера
!icq 	Получение ICQ-паролей локальных пользователей
!flood 	Включение флуда
!kill1 	Перезагрузка компьютера
!kill2 	Выключение компьютера
!floodstop 	Выключение флуда

Бекдором также поддерживаются следующие нестандартные FTP-команды при подключении на TCP-порт 5789:

help 	Вызов экрана помощи
start 	Запуск FTP-сервера
StartFTPC 	Запуск FTP-сервера на C:
StartFTPD 	Запуск FTP-сервера на D:
StartFTPE 	Запуск FTP-сервера на E:
StartFTPF 	Запуск FTP-сервера на F:
StartFTPG 	Запуск FTP-сервера на G:
StartFTPH 	Запуск FTP-сервера на H:
StartFTPZ 	Запуск FTP-сервера на Z:
StopFTP 	Остановка FTP-сервера
lp 	Показ всех процессов в системе
dp 	Удаление процесса под номером, указанным после запятой
scr 	Создание графического файла с копией экрана
stopserver 	Остановка сервера
cdopen 	Открытие лотка CD-ROM
cdclose 	Закрытие лотка CD-ROM
msg 	Вывод сообщения об ошибке с заголовком окна «Error» и текстом 
«Fatal Error in Code #13432. Please reboot you computer».

shutdown 	Выключение компьютера
reboot 	Перезагрузка компьютера
iconshide 	Спрятать иконки рабочего стола (скрытие окна «Менеджера программ»)
iconsshow 	Показать иконки рабочего стола
hook 	Блокировка работы клавиатуры и мыши
unhook 	Разблокировка работы клавиатуры и мыши
user 	Получение имени текущего пользователя
puskfalse 	Блокировка меню «Пуск»
pusktrue 	Разблокировка меню «Пуск»
icqpass 	Получение ICQ-паролей локальных пользователей