Security Lab

Trojan-Downloader.Win32.Delf.ia

Trojan-Downloader.Win32.Delf.ia

Троянская программа, загружающая из интернета файлы без ведома пользователя. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер около 21 КБ. Упакована UPX. Размер распакованного файла — около 62 КБ.

Trojan-Downloader.Win32.Delf.ia («Лаборатория Касперского») также известен как: Trojan.DownLoader.1524 (Doctor Web), Win32/TrojanDownloader.Delf.NAJ (Eset)

Троянская программа, загружающая из интернета файлы без ведома пользователя. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер около 21 КБ. Упакована UPX. Размер распакованного файла — около 62 КБ.

После запуска троянец копирует себя в корневой каталог Windows с именем XPsys.exe:

  
  %Windir%\XPsys.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\policies\Explorer\Run]
   "XPsys"="%Windir%\XPsys.exe"

При каждой следующей загрузке Windows автоматически запустит файл троянца. Для изменения уровня защиты в Internet Explorer троянец изменяет следующие записи системного реестра:

  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\0]
   "1200"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\0]
   "1201"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\0]
   "1400"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\0]
   "1406"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\0]
   "1C00"=" "
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\1]
   "1200"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\1]
   "1406"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\1]
   "1C00"=" "
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\2]
   "1200"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\2]
   "1201"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\2]
   "1406"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\2]
   "1C00"=" "
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\3]
   "1200"="3"
  
  [HKCU\Software\Microsoft\Windows\
  CurrentVersion\Internet Settings\Zones\3]
   "1C00"=" "

Троянская программа имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя. Файлы загружаются со следующего сервера:

http://24-7-search.com/zad/r**.php?

После загрузки файлы копируются в корневой каталог Windows и запускаются на исполнение.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!