Прочее компьютерное
Что делает вирус Win32/TrojanDownloader.Delf ???
Только пожалуйста не давайте сайты где можно прочитать о этом вирусе а напишите сюда ...
Технические детали
Троянская программа, загружающая из интернета другие вредоносные программы без ведома пользователя.
Является приложением Windows (PE EXE-файл) . Упакована при помощи Upack. Размер файла — около 11 КБ. Размер в распакованном виде — около 270 КБ. Написана на Borland Delphi.
Деструктивная активность
После запуска троянца создается поток, в котором каждые 20 миллисекунд происходит поиск в системе окна с классом AVP.AlertDialog. Если такое окно было обнаружено, то происходит поиск в этом окне кнопки с надписью «П&ропустить» или с надписью «&Разрешить» . Если она была найдена, то происходит поиск и имитация клика пользователем левой кнопкой мыши по найденной кнопке.
Троянец определяет наличия в ключе [HKCU\Software\Microsoft\Windows] параметра с именем "m". Если такой параметр существует, то происходит завершение работы программы, иначе происходит создание этого параметра:
[HKCU\Software\Microsoft\Windows]
"m"="m"
После чего троянец производит запуск процесса с именем svchost.exe и внедрение в него кода, содержащего процедуру загрузки файлов.
После запуска этой процедуры происходит скачивание файлов, размещенных по следующим адресам:
http://rikoger.com/lo***/1/1.exe (детектируется Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.awp)
http://rikoger.com/lo***/2/2.exe (детектируется Антивирусом Касперского как Email-Worm.Win32.Scano.as)
http://rikoger.com/lo***/3/3.exe (детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Xorpix.am)
И их сохранение в системе во временном каталоге Windows под следующими именами соответственно:
csrss.exe
lsass.exe
smss.exe
После загрузки троянец проверяет размер каждого загруженного файла: если он равен нулю, то производится повторная загрузка файла.
Также для каждого файла проверяется наличие в его начале сигнатуры исполняемого EXE-файла («MZ»). Если такая сигнатура была найдена, то производится запуск сохраненного файла на исполнение.
Троянская программа, загружающая из интернета другие вредоносные программы без ведома пользователя.
Является приложением Windows (PE EXE-файл) . Упакована при помощи Upack. Размер файла — около 11 КБ. Размер в распакованном виде — около 270 КБ. Написана на Borland Delphi.
Деструктивная активность
После запуска троянца создается поток, в котором каждые 20 миллисекунд происходит поиск в системе окна с классом AVP.AlertDialog. Если такое окно было обнаружено, то происходит поиск в этом окне кнопки с надписью «П&ропустить» или с надписью «&Разрешить» . Если она была найдена, то происходит поиск и имитация клика пользователем левой кнопкой мыши по найденной кнопке.
Троянец определяет наличия в ключе [HKCU\Software\Microsoft\Windows] параметра с именем "m". Если такой параметр существует, то происходит завершение работы программы, иначе происходит создание этого параметра:
[HKCU\Software\Microsoft\Windows]
"m"="m"
После чего троянец производит запуск процесса с именем svchost.exe и внедрение в него кода, содержащего процедуру загрузки файлов.
После запуска этой процедуры происходит скачивание файлов, размещенных по следующим адресам:
http://rikoger.com/lo***/1/1.exe (детектируется Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.awp)
http://rikoger.com/lo***/2/2.exe (детектируется Антивирусом Касперского как Email-Worm.Win32.Scano.as)
http://rikoger.com/lo***/3/3.exe (детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Xorpix.am)
И их сохранение в системе во временном каталоге Windows под следующими именами соответственно:
csrss.exe
lsass.exe
smss.exe
После загрузки троянец проверяет размер каждого загруженного файла: если он равен нулю, то производится повторная загрузка файла.
Также для каждого файла проверяется наличие в его начале сигнатуры исполняемого EXE-файла («MZ»). Если такая сигнатура была найдена, то производится запуск сохраненного файла на исполнение.
Александр Мантулин
Значит всё. Тут только виндовс переустанавливать.
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы) .
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Другие модификации
Trojan-Downloader.Win32.Delf.ajd
Trojan-Downloader.Win32.Delf.ake
Trojan-Downloader.Win32.Delf.ang
Trojan-Downloader.Win32.Delf.awg
Trojan-Downloader.Win32.Delf.bl
Trojan-Downloader.Win32.Delf.bn
Trojan-Downloader.Win32.Delf.cb
Trojan-Downloader.Win32.Delf.cfo
Trojan-Downloader.Win32.Delf.cgx
Trojan-Downloader.Win32.Delf.cq
Trojan-Downloader.Win32.Delf.der
Trojan-Downloader.Win32.Delf.dg
Trojan-Downloader.Win32.Delf.ia
Trojan-Downloader.Win32.Delf.zvq
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы) .
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
Другие модификации
Trojan-Downloader.Win32.Delf.ajd
Trojan-Downloader.Win32.Delf.ake
Trojan-Downloader.Win32.Delf.ang
Trojan-Downloader.Win32.Delf.awg
Trojan-Downloader.Win32.Delf.bl
Trojan-Downloader.Win32.Delf.bn
Trojan-Downloader.Win32.Delf.cb
Trojan-Downloader.Win32.Delf.cfo
Trojan-Downloader.Win32.Delf.cgx
Trojan-Downloader.Win32.Delf.cq
Trojan-Downloader.Win32.Delf.der
Trojan-Downloader.Win32.Delf.dg
Trojan-Downloader.Win32.Delf.ia
Trojan-Downloader.Win32.Delf.zvq
Технические детали
Троянская программа, которая без ведома пользователя скачивает и запускает на исполнение другое программное обеспечение. Является приложением Windows (PE-EXE файл) . Имеет размер 15360 байт.
Деструктивная активность
После запуска троянец загружает файл по следующей ссылке:
http://161.58.140.**/new.exe
(На момент создания описания ссылка не работала. )
Файл сохраняется во временную папку Windows:
%Temp%\godmod.exe
Троянец запускает скачанный файл на исполнение и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) .
Удалить файл:
%Temp%\godmod.exe
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Троянская программа, которая без ведома пользователя скачивает и запускает на исполнение другое программное обеспечение. Является приложением Windows (PE-EXE файл) . Имеет размер 15360 байт.
Деструктивная активность
После запуска троянец загружает файл по следующей ссылке:
http://161.58.140.**/new.exe
(На момент создания описания ссылка не работала. )
Файл сохраняется во временную папку Windows:
%Temp%\godmod.exe
Троянец запускает скачанный файл на исполнение и завершает свою работу.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить троянский процесс.
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер) .
Удалить файл:
%Temp%\godmod.exe
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Игорь Бабич
5 683
как сообщает securitylab.ru - Троянская программа, которая без ведома пользователя скачивает и запускает на исполнение другое программное обеспечение.
от себя - иными словами является платформой для загрузки и запуска любого произвольного ПО злоумышленником
от себя - иными словами является платформой для загрузки и запуска любого произвольного ПО злоумышленником
Пароли кароче вскрывает.. . Пароли к кошелькам, почтовому ящику и тп.. . кроче плохой вирус
Сам такой делал, скачивает другой файл и открывает его
Похожие вопросы
- Что делает вирус Win32/Induc ?
- Вирус Win32 Malware-gen
- Что делает с компом вирус Win32 kido ?
- у меня вирус win32.sality. он лежит в system32 под файлом wmdrtc32.dll!
- Кто что то знает про вирус Win32:Jeefo? Как убить эту тварь?
- Чем опасен вирус win32:neshta?
- что за вирус win32.HLLW.Kati
- чем страшен вирус win32
- как удалить вирус Win32 Conficker? День спокойно, с утра снова антивирусник визжит!
- Как вылечить комп от вируса Win32.HLLW.Shadow.based? Dr.Web не лечить и Avast тоже!