Троянская программа-загрузчик, которая без ведома пользователя скачивает из интернета другие вредоносные программы и рекламу.
Программа является приложением Windows (PE EXE-файл). Написана на С++. Размер зараженных файлов может незначительно варьироваться в пределах от 62 до 77 КБ.
Инсталляция
Троянец регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Upsfctl"="<путь до файла троянца>"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
В различных версиях данного троянца имя параметра ключа может варьироваться.
Деструктивная активность
Троянец считывает конфигурацию для своей работы из файлов preference.dat и index.dat, которые находятся в папке, на которую указывают параметры одного из следующих ключей системного реестра:
[HKLM\Software\Tat] [HKCU\Software\Tat] Data=[HKCU\Software\DelFin\PromulGate] [HKLM\Software\DelFin\PromulGate] Install= Data= [HKCU\Software\Pcsv] [HKLM\Software\Pcsv] Data= [HKLM\Software\Dvx] [HKCU\Software\Dvx] Data=
В процессе своей работы троянец создает следующий ключ реестра, в котором хранит свои настройки:
[HKLM\Software\Dvx]
Троянец проверяет наличие соединения с интернетом, пытаясь установить связь со следующим адресом:
mm.delfinproject.com
В случае наличия соединения троянец без ведома пользователя скачивает файл по следующей ссылке:
content.delfinproject.com/**/download/.....
Затем сохраняет скачанный файл во временном каталоге Windows с именем:
%Temp%\srtin.exe
После чего запускает его на исполнение.
Троянец сохраняет информацию о результате последней загрузки файла в следующий ключ реестра:
[HKLM\Software\Upsf]
На момент создания описания скачанный файл детектируется Антивирусом Касперского как not-a-virus:AdWare.Win32.DelphinMediaViewer.f.
Другие названия
Trojan-Downloader.Win32.Agent.ac («Лаборатория Касперского») также известен как: Trojan.DownLoader.61440 (Doctor Web), TrojanDownloader:Win32/Agent.AC (RAV), TROJ_AGENT.AC (Trend Micro), TR/Dldr.Agent.AC (H+BEDV), Downloader.Agent.5.AT (Grisoft), Application.Adware.IEDriver.A (SOFTWIN), Trj/Downloader.gen (Panda), Win32/TrojanDownloader.Agent.AC (Eset)