На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan-Spy

Trojan-Spy.Win32.Delf.lk


Rootkit:  Нет
Видимые проявления:  Посторонние процессы в памяти
Сообщение AVZ о нестандартном значении ключа Shell\Open для EXE файлов

Троянская программа, приписывающаяся к легитимным файлам по вирусному принципу для маскировки. Исследованный образец распространялся под видом драйверов для видеокарты ATI виде файла с именем 7-1_xp_dd_40211.exe размером 13 мб. Зараженный файл состоит из трояна, к которому приписан легитимный файл. В случае запуска скрытно выполняет следующие действия:
1. Создает файл WINDOWS\system32\LCLASS.EXE размером 214016 байта и помещает в него тело троянской программы
2. Запускает созданный файл с параметрами «WINDOWS\system32\LCLASS.EXE WNEpnp "<полный путь к файлу>\7-1_xp_dd_40211.exe" и завершает работу
3. Троянский процесс LCLASS.EXE создает файл WINDOWS\system32\SVCHOTS.EXE и помещает в него свою копию
4. Модифицирует системный ключ реестра «exefile\shell\open\command», записывая в него «SVCHOTS.EXE WNEpnp "%1" %*» вместо «"%1" %*». В результате в момент запуска любого исполняемого файла вместо него будет сначала запускаться троянская программа, которая затем запустит необходимую программу
5. Модифицирует исходный файл (в данном случа 7-1_xp_dd_40211.exe), «излечивая» его путем удаления из начала файла троянского кода
6. Запускает «вылеченный» исходный файл

Операции 1-6 происходят очень быстро, поэтому с точки зрения пользователя происходит запуск легитимного приложения, в исследованном случае – инсталлятора драйверов видеокарты ATI.
Троянская программа написана на Delphi c применением компонент Indy, размер исполняемого файла – 214016 байта, файл сжат UPX, распакованный размер около 580 кб. Назначение – шпионаж и отправка злоумышленнику собранной информации по электронной почте.
Нестандартный метода автозапуска детектируется AVZ – в протокол выводится сообщение:
Нестандартный ключ Shell\Open для EXE файла: "SVCHOTS.EXE WNEpnp "%1" %*"

Удаление
Для удаления вручную необходимо выполнить следующие операции:
1. Удалить исполняемые файлы троянской программы отложенным удалением AVZ
2. В AVZ вызвать «Файл/Восстановление системы», отметить операцию номер 1 (Восстановление параметров запуска .exe, .dll, .pif файлов) и нажать «Выполнить отмеченные операции»
3. Перезагрузиться

Удаление можно произвести автоматически, при помощи скрипта AVZ:
begin
 // Скрипт удаления Trojan-Spy.Win32.Delf.lk
 DeleteFile('%System32%\SVCHOTS.EXE');
 DeleteFile('%System32%\LCLASS.EXE');
 ExecuteRepair(1);
 RebootWindows(true);
end.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.