Показано с 1 по 8 из 8.

Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

    Обнаружана рассылка писем с предложением испытать программу для определения координал GSM телефона. Это классика социальной инженерии, поэтому я приведу текст письма целиком:

    ********************** Начало письма ***********

    GSM-Локатор v1.05
    П р е д л а г а е м В а ш е м у в н и м а н и ю у н ик а л ь н у ю п р о г р а м м у GSM-Локатор версии 1.05. Данная программа позволяет определить местонахождение мобильного телефона в России и если подключена карта города (города, к которым имеются карты, представлены справа) где находится абонент, то спроецировать местоположение на карту. Если соответствующей карты нет, то отображается город/область местоположения телефона. Точность определения составляет:

    для города - 10-20 метров (!)

    для пригорода - от 100 до 200 метров, в зависимости от плотности расположения ретрансляторов оператора связи


    На данный момент поддерживается определение местоположение сотовых телефонов всех операторов кроме Сонет .
    Для телефонов сети МТС и Билайн и их представительств в разных городах никаких ограничений по определению местоположения нет. При роуминге выводится информация о стране.

    Для работы этой программы необходимо подключение к интернету. Минимальная конфигурация компьютера: Pentium 133, 16 Mb RAM, Windows 95/98/Me/NT/2000/XP.

    Данная программа платная. Одна лицензия стоит 1500 рублей.

    Демо версию программы Вы можете скачать здесь , она рассчитана на 24 часа полноценной работы с момента запуска.

    Размер дистрибутива 135 Кб, без карт.

    По вопросам приобретения звоните +7 (095) 508-11-86

    Примечание: разработчик программы снимает с себя ответственность за возможное нарушение закона при использовании данной программы.


    ********************** Конец письма ***********

    К письму приложен файл GSM-Locator v1.05.exe размером 137216 байт. Файл ничем не сжат, написан на Delphi. Касперский опознает его как Trojan-Dropper.Win32.Delf.fr. По экспресс-анализу он и является дроппером, т.к. его задачей является помещение на компьютер нескольких троянов. В результате на компьютере в папке System появляется ряд файлов:
    mstasks.exe - 43520 байт, TrojanDropper.Win32.Small.ne*** (в хвосте этого файла есть еще один)
    sdchost.exe - 7004 байта, TrojanDownloader.Win32.Small.ub
    sdchostc.exe - 12000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
    sdchosts.exe - 17000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
    sorte32.dll - 4000 байт, сжата UPX, TrojanDownloader.Win32.Small.ua
    Стоит заметить, что все это "зверье" хранится внутри GSM-Locator v1.05.exe (они приписаны в хвост)
    В ключе Run появляется две записи для автозагрузкит троянов:
    "mstasks"="C:\\WINDOWS\\SYSTEM\\mstasks.exe"
    "Direct settings"="C:\\WINDOWS\\SYSTEM\\sdchost.exe"
    проявлением трояна является обмен с сайтом zsewaq3211.infobox.ru вида, который идет с периодически:
    GET http://zsewaq3211.infobox.ru/script/...2120&Port2=121
    22&ID=002900112004000700470030&L1=-.gif&L2=- HTTP/1.0..User-Agent: \..Host: zsewaq3211.infobox.ru

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303

    Re:Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

    Да, хитро придумано. Но у меня уже первая строка вызывает подозрение, что что-то здесь неладно, т.к. там слова написаны слитно и с пробелами между буквами.
    П р е д л а г а е м В а ш е м у в н и м а н и ю у н ик а л ь н у ю п р о г р а м м у GSM-Локатор версии 1.05.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Minos
    Регистрация
    03.10.2004
    Адрес
    Krasnodar, 23 RUS
    Сообщений
    499
    Вес репутации
    82

    Re:Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

    Цитата Сообщение от kps
    Да, хитро придумано. Но у меня уже первая строка вызывает подозрение, что что-то здесь неладно, т.к. там слова написаны слитно и с пробелами между буквами.
    Меня ни первая строка смутила, с ней как раз все впорядке - типичный спамерский прием, а содержание письма, а так же удаленный порт, через который предлагают скачать программу. Вот и запустил ее на виртуальной машине, подозрения подтвердились.

  5. #4
    Geser
    Guest

    Re:Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

    И мне уже пришло

  6. #5
    vicyo
    Guest

    Re:Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

    НОД его видит как Win32/TrojanProxy.Daemonize.AA trojan.
    За последние 2-3 недели, я четырежды встречал Win32/TrojanDropper.Delf и его модификацию в варезном софте, причём пара прог была скачана ещё 2-3 месяца назад. Этого трояна вставляют и в экзешник, и в кейджен и в типа плагин.

  7. #6
    Geser
    Guest

    Re:Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

    Цитата Сообщение от vicyo
    НОД его видит как Win32/TrojanProxy.Daemonize.AA trojan.
    За последние 2-3 недели, я четырежды встречал Win32/TrojanDropper.Delf и его модификацию в варезном софте, причём пара прог была скачана ещё 2-3 месяца назад. Этого трояна вставляют и в экзешник, и в кейджен и в типа плагин.
    Ну, не знаю пару месяцев или нет, но большинство антивирей его не знает:

    Results of a file scan
    This is the report of the scanning done over "GSMLocator11.05.zip" file that VirusTotal processed on 11/29/2004 at 20:42:36.
    Antivirus Version Update Result
    AntiVir 6.28.0.12 11.29.2004 TR/Proxy.Daemoni.AB
    BitDefender 7.0 11.29.2004 -
    ClamWin devel-20041018 11.29.2004 -
    DrWeb 4.32b 11.29.2004 Trojan.MulDrop.1287
    eTrust-Iris 7.1.194.0 11.28.2004 -
    eTrust-Vet 11.7.0.0 11.29.2004 -
    F-Prot 3.15b 11.29.2004 -
    Kaspersky 4.0.2.24 11.29.2004 Trojan-Dropper.Win32.Delf.fr
    NOD32v2 1.935 11.26.2004 Win32/TrojanProxy.Daemonize.AA
    Norman 5.70.10 11.25.2004 -
    Panda 7.02.00 11.29.2004 -
    Sybari 7.5.1314 11.29.2004 MultiDropper-GP.d
    Symantec 8.0 11.28.2004 -

  8. #7
    Guest

    Re:Троян Trojan-Dropper.Win32.Delf

    Тема такая. У меня был MulDrop. Судя по публикации они похожи или одно и то же. Мой MulDrop делал так. Запускался system32\mstasks.exe. Там простенький раскидон на sdchost, sdchostc, sdchosts, sorty32.dll. Кажется так. Т.е. при запуске создаются эти файлы. Они - упакованные архивы. Создают в реестре ключ Software/Microsoft/Asdasdasd.. Что-то такое. И потом в инет ломятся. на info.. какой домен уже не помню ) Так вот. Outpost отлично его мочит, не давая ломиться наружу, сам вирь тормозит на старте (SetTimer там стоит успеть чтобы размножиться) виндовса секунд 30. И Spider не запускается, то ли по таймауту, то ли его он мочит. Действия: удалить процессы sdchost*, удалить все указанные файлы (в т.ч. самый главный mstasks.exe) и из реестра из Local_machine/Software/microsoft/currentversion/run/ удалить запуск sdchost и mstasks. А свежий дрвеб сам вылечит

  9. #8
    Guest

    Re:Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

    Цитата Сообщение от kps
    Да, хитро придумано.
    У меня sdchost.exe удалял cookies с машины, и я замаялся искать твикеры которые "это делают" - скачал пол-тонны софта в попытках найти галку стирающую cookies на машине. Ничего не нашел. Пока не скачал с sysinternals утилитку filemon и не увидел кто у меня эти cookies рубит.


    А сейчас качаю drweb-а ))))))))))))))))

Похожие темы

  1. Не удается удалить троянскую программу: \"Trojan-Dropper.Win32.Delf.vd\". (заявка №25234)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 1
    Последнее сообщение: 12.07.2010, 21:00
  2. Ответов: 3
    Последнее сообщение: 10.11.2009, 14:43
  3. Ответов: 1
    Последнее сообщение: 30.06.2009, 08:47
  4. Ответов: 1
    Последнее сообщение: 26.02.2009, 14:29
  5. Возможно троян Trojan-Dropper.Win32.Delf.aan
    От tatusik в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 19.10.2007, 12:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01577 seconds with 19 queries