RSS-каналы
Уровень опасности: 1
Trojan-Mailfinder.Win32.Delf.h
| Время детектирования | 08 июл 2005 18:02 MSK |
| Время выпуска обновления | 08 июл 2005 18:55 MSK |
| Описание опубликовано | 13 окт 2005 12:13 MSK |
Технические детали
Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер 82432 байта. Упакована UPX. Размер распакованного файла — 232448 байт.
Инсталляция
SpamTool.Win32.Delf.h может попасть на компьютеры пользователей в виде вложения в зараженные электронные письма.
Зараженные письма имеют следующие характеристики:
Отправитель:
CNN Newsletter
Тема письма:
TERROR HITS LONDON
Имя файла-вложения:
LondonTerrorMovie.zip
Данный архив содержит следующий файл:
После запуска вредоносная программа копирует себя в корневой каталог Windows с одним из следующих имен:
- %Windir%\ctflog.exe
- %Windir%\explore.exe
- %Windir%\inetinfomon.exe
- %Windir%\MPM.exe
- %Windir%\service.exe
- %Windir%\winlogon.exe
Для более сложного обнаружения созданный файл имеет следующие атрибуты: скрытый, системный, только чтение (Hidden, System, ReadOnly).
Затем SpamTool.Win32.Delf.h регистрирует себя в ключе автозапуска системного реестра:
"<имя созданного файла без расширения> manager" = "%Windir%\<имя файла>"
При каждой следующей загрузке Windows автоматически запустит вредоносный файл.
Действие
Данная программа может быть использована для рассылки спам сообщений на адреса электронной почты найденные на зараженном компьютере, а также на адреса электронной почты, которые произвольно комбинируются самой вредоносной программой из следующих составных частей:
Имя:
- about
- abrupt
- acetic
- actinolite
- Alana
- Alexandria
- Alvarado
- anarch
- apocryphal
- blacksmith
- blown
- bolometer
- Caldwell
- Carlos
- Carson
- codfish
- crystallite
- Cummings
- Curtis
- dairymen
- David
- deducible
- Dee
- detour
- diffusible
- diurnal
- Edward
- Ellis
- Fernandez
- french
- frostbite
- Hillary
- Hudson
- hydrochemistry
- Ivan
- Jimenez
- Kenneth
- loretta
- Luisa
- mail-hub
- mail-relay
- Malinda
- Mark
- Martinez
- Mccoy
- Mckinney
- mentor
- Oliver
- reactionary
- relay
- relay1
- relay2
- Ronald
- Scott
- Sharp
- slovakia
- Thomas
- Torres
- Victor
- Wagner
- Walton
- Williams
- wooden
- zeus
Домен:
- @aol.com
- @hotmail.com
- @msn.com
- @yahoo.com
Также вредоносная программа имеет функцию загрузки других файлов из интернета и запуска их на зараженном компьютере.
Вредоносная программа, предназначенная для несанкционированного пользователем сбора адресов электронной почты на компьютере с последующей передачей их злоумышленнику через электронную почту, HTTP, FTP или другими способами.
Украденные адреса используются злоумышленниками при проведении последующих рассылок вредоносных программ и спама.
Trojan-Mailfinder.
- SpamTool.
Win32. Delf. h («Лаборатория Касперского») - Trojan:
Spam-SPM (McAfee) - Troj/Spexta-A (Sophos)
- Trj/Bobin.
A (Panda) - W32/VirTool.
DH (FPROT) - Spammer:
Win32/Loter. A (MS(OneCare)) - Trojan.
MailSpam (DrWeb) - Win32/SpamTool.
Delf. H trojan (Nod32) - Trojan.
DonBomb. A (BitDef7) - Win32:
Trojan-gen {Other} (AVAST) - SpamTool.
Win32. Delf (Ikarus) - SpamTool.
BJ (AVG) - SPR/Spam.
Delf. H (AVIRA) - Trojan.
Spexta (NAV) - Spam-SPM (NAI)
- TROJ_DONBOMB.
A (PCCIL) - Hack.
Spam. Manager. a (Rising) - TROJ_DONBOMB.
A (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей