29.10.2006
Trojan-Spy.Win32.Delf.pg
Троянская программа-шпион, 26 кб, сжат UPX. В случае запуска выполняет инсталляцию, которая сводится к следующим действиям:
1. создает в папке Program Files\Internet Explorer\ два файла - IEXPLORE.jmp и IEXPLORE.Dat. Файл IEXPLORE.jmp является копией трояна, а IEXPLORE.Dat – троянская библиотека-перехватчик с функцией руткит-перехвата функций размером 36 кб.
2. Создает ключ в реестре SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, в нем создает ключ {FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
3. Регистрирует CLSID {FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}, библиотека с кодом класса - IEXPLORE.Dat
Подобная регистрация приводит к внедрению библиотеки IEXPLORE.Dat в запускаемые процессы. Анализатор AVZ детектирует ее как
C:\Program Files\Internet Explorer\IEXPLORE.Dat --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Internet Explorer\IEXPLORE.Dat>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
C:\Program Files\Internet Explorer\IEXPLORE.Dat>>> Нейросеть: файл с вероятностью 98.97% похож на типовой перехватчик событий клавиатуры/мыши
Удаление вручную:
1. Отложенным удалением удалить Program Files\Internet Explorer\IEXPLORE.Dat и IEXPLORE.jmp, при этом AVZ автоматически удалит CLSID из реестра
2. Перезагрузиться
Удаление скриптом:
1. Закрыть все программы, кроме AVZ
2. Выполнить скрипт при помощи Файл/Выполнить скрипт (перезагрузка произойдет автоматически)
begin
// Скрипт удаления Trojan-Spy.Win32.Delf.pg
DeleteFile('%SysDisk%\Program Files\Internet Explorer\IEXPLORE.Dat');
DeleteFile('%SysDisk%\Program Files\Internet Explorer\IEXPLORE.jmp');
ExecuteSysClean;
DelCLSID('FEB94F5A-69F3-4645-8C2B-9E71D270AF2E');
SaveLog('del_Delf_pg.log');
RebootWindows(true);
end. |