На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-Spy

Trojan-Spy.Win32.Delf.pg


29.10.2006

Trojan-Spy.Win32.Delf.pg

Троянская программа-шпион, 26 кб, сжат UPX. В случае запуска выполняет инсталляцию, которая сводится к следующим действиям:
1. создает в папке Program Files\Internet Explorer\ два файла - IEXPLORE.jmp и IEXPLORE.Dat. Файл IEXPLORE.jmp является копией трояна, а IEXPLORE.Dat – троянская библиотека-перехватчик с функцией руткит-перехвата функций размером 36 кб.
2. Создает ключ в реестре SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, в нем создает ключ {FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
3. Регистрирует CLSID {FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}, библиотека с кодом класса - IEXPLORE.Dat
Подобная регистрация приводит к внедрению библиотеки IEXPLORE.Dat в запускаемые процессы. Анализатор AVZ детектирует ее как

C:\Program Files\Internet Explorer\IEXPLORE.Dat --> Подозрение на Keylogger или троянскую DLL
C:\Program Files\Internet Explorer\IEXPLORE.Dat>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь, оконные события
C:\Program Files\Internet Explorer\IEXPLORE.Dat>>> Нейросеть: файл с вероятностью 98.97% похож на типовой перехватчик событий клавиатуры/мыши


Удаление вручную:
1. Отложенным удалением удалить Program Files\Internet Explorer\IEXPLORE.Dat и IEXPLORE.jmp, при этом AVZ автоматически удалит CLSID из реестра
2. Перезагрузиться

Удаление скриптом:
1. Закрыть все программы, кроме AVZ
2. Выполнить скрипт при помощи Файл/Выполнить скрипт (перезагрузка произойдет автоматически)
begin
 // Скрипт удаления Trojan-Spy.Win32.Delf.pg
 DeleteFile('%SysDisk%\Program Files\Internet Explorer\IEXPLORE.Dat');
 DeleteFile('%SysDisk%\Program Files\Internet Explorer\IEXPLORE.jmp');
 ExecuteSysClean;
 DelCLSID('FEB94F5A-69F3-4645-8C2B-9E71D270AF2E');
 SaveLog('del_Delf_pg.log');
 RebootWindows(true);
end.





Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.