На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Backdoor

Backdoor.Win32.Delf.atn


Rootkit:  Нет

Известен под именем setup.exe, размер 821760 байта, написан на Delphi. В случае запуска скрытно выполняет следующие действия:
1. Регистрирует в автозапуске файл C:\WINDOWS\system32\SVCHОST.exe (выделенная буква «О» - русская, причем все остальное имя записано английскими буквами) размером 136 кб (не путать с системный файлом, имя которого отличается только одной буквой и одинаково по начертанию).
2. Модифицирует правила встроенного Firewall Windows – записывает в список доверенных процессы msgsys.exe (166 кб, сжат UPX), SVCHОST.exe (136 кб, сжат UPX) и smsl.exe (233 кб)
3. Модифицирует параметр ключа Parameters\FirewallPolicy\StandardProfile\IcmpSettings с именем AllowInboundEchoRequest
4. Создает файлы WINDOWS\system32\SVCHОST.exe, WINDOWS\system32\msgsys.exe
5. Регистрирует службу «sysserv» с исполняемым файлом WINDOWS\system32\msgsys.exe
6. Модифицирует ключ реестра HKLM\SYSTEM\RAdmin\v2.0 – в данном ключе хранятся настройки RemoteAdmin
7. Создает файлы WINDOWS\system32\admdll.dll, WINDOWS\system32\smsl.exe, WINDOWS\system32\ntosn.exe
8. Завершает работу

Назначение установленных файлов:  файлы system32\admdll.dll, system32\smsl.exe являются компонентами утилиты RemoteAdmin – таким образом, производится скрытная установка RemoteAdmin и его настройка. SVCHОST.exe – это Trojan-Spy.Win32.Delf.kx, msgsys.exe - Backdoor.Win32.Delf.aix, ntosn.exe – архиватор RAR версии 2.60.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.