Trojan-Downloader.Win32. Agent.ac

Троянская программа-загрузчик, которая без ведома пользователя скачивает из интернета другие вредоносные программы и рекламу.

Программа является приложением Windows (PE EXE-файл). Написана на С++. Размер зараженных файлов может незначительно варьироваться в пределах от 62 до 77 КБ.

Инсталляция

Троянец регистрирует себя в ключе автозапуска системного реестра:

 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Upsfctl"="<путь до файла троянца>"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

В различных версиях данного троянца имя параметра ключа может варьироваться.

Деструктивная активность

Троянец считывает конфигурацию для своей работы из файлов preference.dat и index.dat, которые находятся в папке, на которую указывают параметры одного из следующих ключей системного реестра:

  [HKLM\Software\Tat]
  [HKCU\Software\Tat]
   Data= [HKCU\Software\DelFin\PromulGate] [HKLM\Software\DelFin\PromulGate] Install= Data= [HKCU\Software\Pcsv] [HKLM\Software\Pcsv] Data= [HKLM\Software\Dvx] [HKCU\Software\Dvx] Data=

В процессе своей работы троянец создает следующий ключ реестра, в котором хранит свои настройки:

[HKLM\Software\Dvx]

Троянец проверяет наличие соединения с интернетом, пытаясь установить связь со следующим адресом:

mm.delfinproject.com

В случае наличия соединения троянец без ведома пользователя скачивает файл по следующей ссылке:

content.delfinproject.com/**/download/.....

Затем сохраняет скачанный файл во временном каталоге Windows с именем:

%Temp%\srtin.exe

После чего запускает его на исполнение.

Троянец сохраняет информацию о результате последней загрузки файла в следующий ключ реестра:

[HKLM\Software\Upsf]

На момент создания описания скачанный файл детектируется Антивирусом Касперского как not-a-virus:AdWare.Win32.DelphinMediaViewer.f.

Другие названия

Trojan-Downloader.Win32.Agent.ac («Лаборатория Касперского») также известен как: Trojan.DownLoader.61440 (Doctor Web), TrojanDownloader:Win32/Agent.AC (RAV), TROJ_AGENT.AC (Trend Micro), TR/Dldr.Agent.AC (H+BEDV), Downloader.Agent.5.AT (Grisoft), Application.Adware.IEDriver.A (SOFTWIN), Trj/Downloader.gen (Panda), Win32/TrojanDownloader.Agent.AC (Eset)