Trojan.Win32.Delf.cbbm

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является динамической библиотекой Windows (PE DLL-файл). Имеет размер 751725 байт. Написана на Delphi.

Деструктивная активность

После активации троянец соединяется с одним из следующих серверов злоумышленника:

cache.dyndns.tv  docs.dyndns.org  dns.dellsupports.com  krb.dellsupports.com  

На сервер злоумышленника передается следующая информация:

• имя компьютера;
• IP-адрес зараженной системы;
• версия и название операционной системы;
• список запущенных процессов в системе.

Информация о системе сохраняется в рабочем каталоге троянца под именем "log.dat":

%Work%\log.dat

Троянец копирует свое тело в следующие каталоги клиента терминального сервера (Terminal Server Client):

\\tsclient\%WinDir%\SysWoW64\<оригинальное имя троянской программы>.dll  \\tsclient\%System%\<оригинальное имя троянской программы>.dll  

Троянец создает SQL таблицу с именем "siweb3file", в которой хранит команды для запуска. При помощи данных команд троянец создает задание с именем "abc82", которое позволяет получить злоумышленнику доступ к командному интерпретатору на зараженной системе. Список команд может обновляется с серверов злоумышленника. На момент создания описания вышеуказанные сервера не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы.