Trojan-Spy.Win32. Delf.lk

Троянская программа-шпион. Является приложением Windows (PE EXE-файл). Написана на языке Borland Delphi. Упакована при помощи UPX. Размер зараженного файла — 214016 байт. Размер в распакованном виде — около 588 КБ.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows со следующими именами:

  %System%\LCLASS.EXE 
  %System%\SVCHOTS.EXE

Троянец изменяет значение следующего ключа системного реестра:

[HKCR\exefile\shell\open\command]
 "SVCHOTS.EXE WNEpnp "%1" %*"

Что приводит к запуску троянца SVCHOTS.EXE с ключом WNEpnp при запуске EXE-файла, где в качестве параметра передается запускаемое приложение.

Деструктивная активность

Троянец открывает произвольные TCP-, UDP-порты, а также пытается установить соединение посредством механизма низкоуровневого доступа Rawsockets, который обычно не отслеживается файерволами, позволяя получать неограниченный доступ к сетевым ресурсам.

Троянец собирает информацию о пользователе (следит за нажатиями клавиш клавиатуры, делает снимки экрана) и полученную информацию отсылает, используя встроенный SMTP-сервер на mail.e-mails.ru. Троянец подключается к удаленной службе SMTP(TCP:25) узла 89.108.88.50 (mail.e-mails.ru).

Троянец создает файлы с расширением TMP во временном каталоге %temp%.

При попытке запуска приложений с расширением EXE запускается процесс SVCHOTS.EXE, который выводит сообщение об ошибке. После процесс прекращает свое выполнение. Запускаемые файлы не заражаются.