12.10.2007
Trojan.Win32.Delf.aig
Троянская программа, размер 170 кб, иконка визуально неотличима от иконки архива WinRar. Троян написан на Delphi, упакован. Обнаружен на ПК пользователя, обратившегося за помощью в форум ЛК (http://forum.kaspersky.com/index.php?showtopic=50043).
В случае запуска троян скрытно выполняет следующие операции:
1. Пытается удалить файл WINDOWS\system32\taskmgr.exe – это диспетчер задач.
2. Создает свою копию в файле WINDOWS\system32\explorer32.exe
3. Регистрирует скопированный файл в автозапуске, применяется нестандартный ключ автозапуска (Winlogon\Userinit)
4. Повреждает отображение окна «Рабочий стол», в результате чего рабочий стол и панель задач визуально исчезают (но тем не менее процессе explorer.exe продолжает работать)
5. Запускает WINDOWS\system32\explorer32.exe, после чего завершает работу
После этого на экран поверх всех окон выводится сообщение на русском языке, предлагающее послать SMS на платный номер для разблокировки компьютера и ввести полученный код ответа. Остановить троянский процесс пользователь не может, так как диспетчер задач удален.
Обнаружение и уничтожение трояна:
1. Процесс трояна не маскируется, поэтому достаточно остановить процесс explorer32.exe и удалить исполняемый файл, после чего следует перезагрузить компьютер
2. После перезагрузки следует проверить, существует ли на диске файл WINDOWS\system32\taskmgr.exe. Если он отсутствует, то его необходимо восстановить вручную из резервной копии или дистрибутива системы
