название: Trojan-Downloader.Win32.Delf.bn
размер: 45699 байт (HTML-страница, Содержит JavaScript, использующий уязвимость в Microsoft Internet Explorer 5.01, 5.5 и 6.0, известную как Local Executable Invocation via Object tag (MS02-015)
распространение: спам-рассылка
Пример зараженного сообщения:
В начале HTML-файла находится архив с троянской программой, имеющий формат Microsoft Cabinet.
Находящаяся в архиве троянская программа представляет собой исполняемый PE EXE-файл. Написана на языке Delphi. Имеет размер 67073 байта.
инсталяция:
После запуска троянского HTML-файла на экране браузера появляется следующая страница с текстом:
Скрипт страницы содержит обработчик события загрузки страницы, который каждые полсекунды вызывает функцию, внедряющую трояна в систему. Троянский код ждет пока браузер перейдет в автономномный режим, после чего создает новое окно с координатами -10000, -10000. В окне открывается страница с помещенным на ней троянским ActiveX-компонетом.
Программа установки ActiveX-компонентов распаковывает из содержащегося в веб-странице архива файл totalworm.dll во временную папку «%Windir%\Downloaded Program Files», после чего загружает и регистрирует в системе содержащийся в нем ActiveX-компонент. Файл totalworm.dll имеет размер 85504 байта и является динамической библиотекой Windows. При загрузке этой библиотеки она дешифрует встроенный в нее EXE-файл и сохраняет его в системный каталог Windows с именем systemxp.exe (размер 67073 байт):
После чего данный файл запускается на исполнение и регистрирует себя в ключе автозапуска системного реестра:
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Также троянец изменяет следующую запись в системном реестре, чтобы заблокировать работу с системным реестром Windows:
действие на систему:
Троянец пытается установить соединение с интернетом используя функции библиотеки wininet:
1) Инициализирует интернет соединение случайным образом, выбирая тип подключения «direct» или используя системные настройки.
2) Запускает поток, который в цикле 300 раз с задержкой 10 миллисекунд ищет в системе диалог дозвона к интернету, если находит — скрывает его и имитирует нажатие на кнопку дозвона.
3) Пытается связаться с адресом http://www.google.com, после этого делает задержку в 5 минут и повторяет попытку.
Если удается соединиться с интернетом, программа открывает следующий URL:
Далее троянец пытается выполнить загрузку других файлов из интернета.
При успешном соединении с интернетом троянец открывает следующий URL:
и ждет ответа от сервера. Если возвращается строка «ok», то троянец удаляет файл sys9x1old.exe из системного каталога Windows, если такой существует. Если в системном каталоге ОС существует файл sys9x1.exe, троянец переименовывает его в sys9x1old.exe.
После чего троянец соединяется со следующим URL:
принимает данные с сервера и записывает их в файл sys9x1.exe расположенный в системном каталоге ОС.
После окончания приема данных запускает этот файл на выполнение.
Также при определенных условиях троянец блокирует работу с диспетчером задач Windows.
удаление:
1) Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
2) Удалить ключ реестра:
3) Удалить следующие файлы из системного каталога Windows:
Установить обновление для Microsoft Internet Explorer.
размер: 45699 байт (HTML-страница, Содержит JavaScript, использующий уязвимость в Microsoft Internet Explorer 5.01, 5.5 и 6.0, известную как Local Executable Invocation via Object tag (MS02-015)
распространение: спам-рассылка
Пример зараженного сообщения:
В начале HTML-файла находится архив с троянской программой, имеющий формат Microsoft Cabinet.
Находящаяся в архиве троянская программа представляет собой исполняемый PE EXE-файл. Написана на языке Delphi. Имеет размер 67073 байта.
инсталяция:
После запуска троянского HTML-файла на экране браузера появляется следующая страница с текстом:
Скрипт страницы содержит обработчик события загрузки страницы, который каждые полсекунды вызывает функцию, внедряющую трояна в систему. Троянский код ждет пока браузер перейдет в автономномный режим, после чего создает новое окно с координатами -10000, -10000. В окне открывается страница с помещенным на ней троянским ActiveX-компонетом.
Программа установки ActiveX-компонентов распаковывает из содержащегося в веб-странице архива файл totalworm.dll во временную папку «%Windir%\Downloaded Program Files», после чего загружает и регистрирует в системе содержащийся в нем ActiveX-компонент. Файл totalworm.dll имеет размер 85504 байта и является динамической библиотекой Windows. При загрузке этой библиотеки она дешифрует встроенный в нее EXE-файл и сохраняет его в системный каталог Windows с именем systemxp.exe (размер 67073 байт):
Код:
%System%\systemxp.exe
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Systemxp"="%System%\systemxp.exe"Также троянец изменяет следующую запись в системном реестре, чтобы заблокировать работу с системным реестром Windows:
Код:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"Троянец пытается установить соединение с интернетом используя функции библиотеки wininet:
1) Инициализирует интернет соединение случайным образом, выбирая тип подключения «direct» или используя системные настройки.
2) Запускает поток, который в цикле 300 раз с задержкой 10 миллисекунд ищет в системе диалог дозвона к интернету, если находит — скрывает его и имитирует нажатие на кнопку дозвона.
3) Пытается связаться с адресом http://www.google.com, после этого делает задержку в 5 минут и повторяет попытку.
Если удается соединиться с интернетом, программа открывает следующий URL:
Код:
http://www.***ivizion1.wz.cz/echo.phpПри успешном соединении с интернетом троянец открывает следующий URL:
Код:
http://www.***ivizion1.wz.cz/isexe.phpПосле чего троянец соединяется со следующим URL:
Код:
http://www.***ivizion1.wz.cz/getexefile.phpПосле окончания приема данных запускает этот файл на выполнение.
Также при определенных условиях троянец блокирует работу с диспетчером задач Windows.
удаление:
1) Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
2) Удалить ключ реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Systemxp"="%System%\systemxp.exe"
Код:
%System%\systemxp.exe
%System%\sys9x1old.exe
%System%\sys9x1.exe