23.01.2007
Backdoor.Win32.Delf.atn
Известен под именем setup.exe, размер 821760 байта, написан на Delphi. В случае запуска скрытно выполняет следующие действия:
1. Регистрирует в автозапуске файл C:\WINDOWS\system32\SVCH
ОST.exe (выделенная буква «О» - русская, причем все остальное имя записано английскими буквами) размером 136 кб (не путать с системный файлом, имя которого отличается только одной буквой и одинаково по начертанию).
2. Модифицирует правила встроенного Firewall Windows – записывает в список доверенных процессы msgsys.exe (166 кб, сжат UPX), SVCH
ОST.exe (136 кб, сжат UPX) и smsl.exe (233 кб)
3. Модифицирует параметр ключа Parameters\FirewallPolicy\StandardProfile\IcmpSettings с именем AllowInboundEchoRequest
4. Создает файлы WINDOWS\system32\SVCH
ОST.exe, WINDOWS\system32\msgsys.exe
5. Регистрирует службу «sysserv» с исполняемым файлом WINDOWS\system32\msgsys.exe
6. Модифицирует ключ реестра HKLM\SYSTEM\RAdmin\v2.0 – в данном ключе хранятся настройки RemoteAdmin
7. Создает файлы WINDOWS\system32\admdll.dll, WINDOWS\system32\smsl.exe, WINDOWS\system32\ntosn.exe
8. Завершает работу
Назначение установленных файлов: файлы system32\admdll.dll, system32\smsl.exe являются компонентами утилиты RemoteAdmin – таким образом, производится скрытная установка RemoteAdmin и его настройка. SVCHОST.exe – это Trojan-Spy.Win32.Delf.kx, msgsys.exe - Backdoor.Win32.Delf.aix, ntosn.exe – архиватор RAR версии 2.60.