Trojan-Downloader.Win32.Delf.cxa

[Зайцев Олег]

Размер исполняемого файла 22 кб, исполняемый файл упакован. Видимые проявления - проблемы с запуском процессов антивирусов. Зафиксирован ряд случаев ITW заражения по обращениям пользователей на форуме virusinfo (http://virusinfo.info/showpost.php?p...&postcount=127) и форуме ЛК.
В случае запуска зловред скрытно выполняет следующие операции:
1. Выполняет через cmd.exe консольную команду date, меняя системную дату на 2005 год. Как известно, лицензии многих антивирусов привязаны к дате и перевод даты на несколько лет назад приводит к блокировке их работы
2. Зловред активирует для своего процесса привилегию SeDebugPrivilege
3. пытается остановить процессы ряда антивирусов - для этого он изучает список запущенных процессов и убивает процессы по именам
4. Создает в корне дисков файлы X:\AutoRun.inf и X:\MicrSoft.exe (MicrSoft.exe - копия исполняемого файла зловреда, в autorun классические строчки типа Shell\Open\Command=MicrSoft.exe и Shell\Explore\Command=MicrSoft.exe). Кроме того, зловред создает свою копию под именем WINDOWS\system32\MicrSoft.exe и запускает ее, после чего исходный файл самоуничтожается при помощи BAT-файла
5. Зловред запускает InternetExplorer, модифицирует память его процесса и модифицирует контекст главного потока IE для запуска своего троянского кода. Аналогичную операцию он делает с svchost.exe. Зловред пытается обмениваться с Инет и загружать файлы (URL уже недоступен)
6. Повреждает параметры загрузки в защищенном режиме, удаляя ряд ключей
7. Регистрирует массу отладчиков процессов, в основном для антивирусов и прочего защитного ПО. Отладчиком он прописывает файл C:\WINDOWS\system32\MicrSoft.exe (это еще одна копия зловреда, он создает ее при запуске).