29.11.2004
Trojan-Dropper.Win32.Delf
Рассылка данного трояна была обнаружена 29.11.2004, рассылка шла в виде писем с предложением испытать программу для определения координал GSM телефона. Данный метод является классикой социальной инженерии.
Текст письма:
********************** Начало письма ***********
GSM-Локатор v1.05
П р е д л а г а е м В а ш е м у в н и м а н и ю у н ик а л ь н у ю п р о г р а м м у GSM-Локатор
версии 1.05. Данная программа позволяет определить местонахождение мобильного телефона
в России и если подключена карта города (города, к которым имеются карты, представлены
справа) где находится абонент, то спроецировать местоположение на карту. Если соответствующей
карты нет, то отображается город/область местоположения телефона. Точность определения
составляет:
для города - 10-20 метров (!)
для пригорода - от 100 до 200 метров, в зависимости от плотности расположения
ретрансляторов оператора связи
На данный момент поддерживается определение местоположение сотовых телефонов всех
операторов кроме Сонет .
Для телефонов сети МТС и Билайн и их представительств в разных городах никаких ограничений
по определению местоположения нет. При роуминге выводится информация о стране.
Для работы этой программы необходимо подключение к интернету. Минимальная конфигурация
компьютера: Pentium 133, 16 Mb RAM, Windows 95/98/Me/NT/2000/XP.
Данная программа платная. Одна лицензия стоит 1500 рублей.
Демо версию программы Вы можете скачать здесь , она рассчитана на 24 часа полноценной
работы с момента запуска.
Размер дистрибутива 135 Кб, без карт.
По вопросам приобретения звоните +7 (095) 508-11-86
Примечание: разработчик программы снимает с себя ответственность за возможное нарушение
закона при использовании данной программы.
********************** Конец письма ***********
К письму приложен файл GSM-Locator v1.05.exe размером 137216 байт. Файл ничем не сжат, написан на Delphi. Касперский опознает его как Trojan-Dropper.Win32.Delf.fr.
По экспресс-анализу он и является дроппером, т.к. его задачей является помещение на компьютер нескольких троянов. В результате на компьютере в папке System появляется ряд файлов:
mstasks.exe - 43520 байт, TrojanDropper.Win32.Small.ne*** (в хвосте этого файла есть еще один)
sdchost.exe - 7004 байта, TrojanDownloader.Win32.Small.ub
sdchostc.exe - 12000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sdchosts.exe - 17000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sorte32.dll - 4000 байт, сжата UPX, TrojanDownloader.Win32.Small.ua
Стоит заметить, что все это "зверье" хранится внутри GSM-Locator v1.05.exe (они приписаны в хвост)
В ключе Run появляется две записи для автозагрузкит троянов:
"mstasks"="C:\\WINDOWS\\SYSTEM\\mstasks.exe"
"Direct settings"="C:\\WINDOWS\\SYSTEM\\sdchost.exe"
проявлением трояна является обмен с сайтом zsewaq3211.infobox.ru вида, который идет с периодически.