Security Lab

Trojan.Win32. Delf.abx

Trojan.Win32. Delf.abx

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 945664 байта. Ничем не упакована. Написана на Delphi.

Инсталляция

При запуске троянец копирует себя в следующие папки под следующими именами:

%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe
%Documents and Settings%\%user%\Start Menu\Programs\Startup\avp.exe
%System%\RavMon.exe

Троянец создает следующий ключ в системном реестре, в котором указаны данные инсталляции:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rm]

Также создает следующие значения:

  [HKCR\Software\Microsoft\Internet Account]
   "Expire Days" = "dword:8"
  
  [HKCR\Control Panel\Desktop]
   "AutoEndTasks" = "1"
  

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"RavAV" = "%Documents and Settings%\%user%\Start Menu\Programs\Startup\RavMonE.exe"
"RavMon" = "%System%\RavMon.exe"

Деструктивная активность

Данная троянская програма представляет собой клавиатурный шпион с возможностью удаленного управления и функцией червя.

Вредоносная программа распространяется через сменные носители.

Копирует себя на сменный диск под именем RavMonE.exe и создает файл автозапуска autorun.inf, который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».

Троянец завершает следующие процессы, если такие присутствуют в системе:

  cmmon32.exe
  iexp1ore.exe
  IEXPL0RE.EXE
  iexpl0re.exe
  Logo1_.exe
  RUNDL132.EXE
  rundl132.exe
  Servera.exe
  Servere.exe
  SLcc.exe
  wuauclt1.exe

Данные процессы являются процессами других вредоносных программ.

Троянец устанавливает клавиатурный перехват, при помощи библиотеки, созданной троянцем во временном каталоге текущего пользователя Windows:

  %Temp%\h.tmp
  

Троян следит за клавиатурным вводом пользователя и сохраняет протокол в следующий файл:

  %Temp%\keys.log

Собранную информацию троянец отправляет на электронный адрес злоумышленника:

ais@darch***.ru
ais@mail***.ru
apiit@***tmb.ru
artemov@***tmb.ru
biblme@***tmb.ru
bjd@***tmb.ru
bmt@***.ru
brodovich@sir***.ru
brusentsov@mail***.ru
chemistry@***.ru
coord@coord***.ru
crems@crems.jesby***.ru
cybertech@jesby***.ru
decan_hist@***tmb.ru
dmitr2002@***tmb.ru
dmsh@dmsh***.ru
docc@asp***.ru
eco@nnn***.ru
egorov@mail***.ru
elters@crimeinfo.jesby***.ru
ernest@***tmb.ru
feodorov@***tmb.ru
fmf@***tmb.ru
fmo@decin***.ru
frolov@nnn***.ru
frolow@mail.ahp***.ru
galygin@nis***.ru
gaps@gaps-gw***.ru
gena@des***.ru
golovin@***tmb.ru
gromov@is***.ru
helen@***tmb.ru
hist@nnn***.ru
ibr@libr***.ru
intep@ng***.ru
ipu@ahp***.ru
ivolgin@***tmb.ru
kafedra@asp***.ru
kafedra@mail.gaps***.ru
kalinin@nauka***.ru
kalinin@nauka2***.ru
kchic@kch***.ru
ket@ket***.ru
kmm@***tmb.ru
korenkov@***tmb.ru
kulikov@apmath***.ru
kurs_podg@***tmb.ru
kvidep@cen***.ru
kvipri@ce***.ru
kyv@ahp***.ru
kzis@kzis***.ru
law@gis***.ru
litovka@mail.sapr***.ru
lopatin@***tmb.ru
lvi@gidra***.ru
malaschonok@math-iu***.ru
mmf@mmf***.ru
msh@msh3***.ru
nat@evro***.ru
ns@***tmb.ru
olga@nnn***.ru
olimp@olimp***.ru
oord@coord***.ru
phys@mail***.ru
phys@phys***.ru
polymers@asp***.ru
polymers@babylon.jesby***.ru
portal@tstu.ru
post@mcms***.ru
post@ums***.ru
ppc@ppc***.ru
pr@nnn***.ru
PR@PR***.ru
pvp@phys***.ru
quality@asp***.ru
rector@***tmb.ru
resbn@jesby***.ru
root@msh***.ru
root@msh3***.ru
root@phys***.ru
sekr@nnn***.ru
sekr1@mail***.ru
Shibkov@***tmb.ru
slava@ahp-gw***.ru
soprm@mail***.ru
sport@sportkaf***.ru
sss@nnn***.ru
studklub@show***.ru
szhulikov@***tmb.ru
tmm-dm@tmm-dm***.ru
tmmsii@tmmsii.jesby***.ru
tolmat@teorm***.ru
topt@topt***.ru
tso@almamater-tv***.ru
tso@mail***.ru
tva@ul***.ru
tyurin@***tmb.ru
u0077@pisetski***.ru
uaa@hmd***.ru
uhachov@***tmb.ru
umo@nnn***.ru
umo@umo***.ru
uov@pk***.ru
vat@dzs***.ru
vera@vera***.ru
vk@mail***.ru
vk@midl***.ru
zheltov@***tmb.ru

Также троянец ведет отладочный протокол своей работы в файле:

%Documents and Settings%\Local Settings\Temp\curse--.tmp
      

где — дата в формате dd-mm-yyyy

Троянец завершает следующие процессы, принадлежащие сетевым экранам и антивирусным программам:

  AAKSRV.EXE
  AlogServ.exe
  APVXDWIN.EXE
  Avconsol.exe
  Avengine.exe
  avgamsvr.exe
  avgcc.exe
  avgemc.exe
  AVGNT.EXE
  AVGUARD.EXE
  avgupsvc.exe
  avgwb.dat
  avp.exe
  Avsynmgr.exe
  AVWIN.EXE
  bdagent.exe
  bdlite.exe
  bdmcon.exe
  bdss.exe
  cmdagent.exe
  cpf.exe
  FileMon.exe
  FileMonNT.exe
  FireWall.exe
  Iface.exe
  jpf.exe
  jpfsrv.exe
  KAVPF.exe
  kfsensmonitor.exe
  kfsnserv.exe
  KillProcess.exe
  kpf4gui.exe
  lpfw.exe
  lpfw.exe
  mantispm.exe
  mcagent.exe
  mcdash.exe
  Mcdetect.exe
  Mcshield.exe
  McTskshd.exe
  mghtml.exe
  Monitor.exe
  MpfAgent.exe
  MpfService.exe
  MpfTray.exe
  OllyDbg.EXE
  outpost.exe
  Pavfires.exe
  PAVJOBS.EXE
  Pavproxy.exe
  Pavsrv51.exe
  Regmon.exe
  RegMonNT.exe
  safensec.exe
  ScanningProcess.exe
  sdhelp.exe
  snsmcon.exe
  spyxx.exe
  swdoctor.exe
  Unamon.exe
  UnaSvc.exe
  VSHWIN32.EXE
  VsMain.exe
  vsserv.exe
  VSStat.exe
  wlinject.exe
  xcommsvr.exe
  zlclient.exe

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!