Показано с 1 по 4 из 4.

Trojan-Ransom.Win32.Delf.h

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    52

    Trojan-Ransom.Win32.Delf.h

    Код:
    Антивирус	Версия	Обновление	Результат
    a-squared	4.5.0.18	2009.06.30	Virus.Win32.Delf!IK
    AhnLab-V3	5.0.0.2	2009.06.30	-
    AntiVir	7.9.0.199	2009.06.30	-
    Antiy-AVL	2.0.3.1	2009.06.30	-
    Authentium	5.1.2.4	2009.06.29	-
    Avast	4.8.1335.0	2009.06.29	-
    AVG	8.5.0.339	2009.06.30	-
    BitDefender	7.2	2009.06.30	-
    CAT-QuickHeal	10.00	2009.06.29	-
    ClamAV	0.94.1	2009.06.30	-
    Comodo	1507	2009.06.30	-
    DrWeb	5.0.0.12182	2009.06.30	Trojan.Winlock.origin
    eSafe	7.0.17.0	2009.06.29	-
    eTrust-Vet	31.6.6590	2009.06.30	-
    F-Prot	4.4.4.56	2009.06.29	-
    F-Secure	8.0.14470.0	2009.06.30	-
    Fortinet	3.117.0.0	2009.06.30	-
    GData	19	2009.06.30	-
    Ikarus	T3.1.1.64.0	2009.06.30	Virus.Win32.Delf
    Jiangmin	11.0.706	2009.06.30	-
    K7AntiVirus	7.10.768	2009.06.19	-
    Kaspersky	7.0.0.125	2009.06.30	-
    McAfee	5661	2009.06.29	-
    McAfee+Artemis	5661	2009.06.29	-
    McAfee-GW-Edition	6.7.6	2009.06.30	-
    Microsoft	1.4803	2009.06.30	-
    NOD32	4200	2009.06.30	-
    Norman	6.01.09	2009.06.29	-
    nProtect	2009.1.8.0	2009.06.30	-
    Panda	10.0.0.14	2009.06.29	-
    PCTools	4.4.2.0	2009.06.30	-
    Rising	21.36.14.00	2009.06.30	-
    Sophos	4.43.0	2009.06.30	-
    Sunbelt	3.2.1858.2	2009.06.29	-
    Symantec	1.4.4.12	2009.06.30	-
    TheHacker	6.3.4.3.358	2009.06.30	-
    TrendMicro	8.950.0.1094	2009.06.30	-
    VBA32	3.12.10.7	2009.06.30	-
    ViRobot	2009.6.30.1812	2009.06.30	-
    VirusBuster	4.6.5.0	2009.06.29	-
    Дополнительная информация
    File size: 387584 bytes
    MD5...: 8bd4b97176ff5382d384dc7e61f52d68
    SHA1..: 323607ce5391ce9196f05288635ae841c037d8c4
    SHA256: 3638395afd948847f2f82b3cc8fdc9e4a47f49cf0f83aa374c3b01c6580233c4
    ssdeep: 6144:z/W1Me/r0emFHfWRPwxANmpVkXYYARCQ068hfrFy0boLSS57iA68fuBl:TW
    Oe/QeY/WRYO1XVvQ0NFbo2obuP
    PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
    TrID..: File type identification
    -
    PEInfo: PE Structure information
    
    ( base data )
    entrypointaddress.: 0x50290
    timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
    machinetype.......: 0x14c (I386)
    
    ( 8 sections )
    name viradd virsiz rawdsiz ntrpy md5
    CODE 0x1000 0x4f2d8 0x4f400 6.53 5f33366658d4588c20a5e9dccf720f0d
    DATA 0x51000 0x1170 0x1200 4.11 9308bb020b72d9547b26aea22b55e7ab
    BSS 0x53000 0xbdd 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .idata 0x54000 0x1fce 0x2000 4.94 9cd6eea2929088e672c201f895f5af7e
    .tls 0x56000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rdata 0x57000 0x18 0x200 0.20 f812e2dd7668d7eb96c403290f7b169b
    .reloc 0x58000 0x5a68 0x5c00 6.64 fb37a219a961fdd9cd9cef57615d5927
    .rsrc 0x5e000 0x6200 0x6200 4.71 18ef660c3538febaefe79cfac36855b9
    
    ( 13 imports ) 
    > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
    > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
    > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
    > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
    > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
    > advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegDeleteValueA, RegCreateKeyExA, RegCloseKey
    > kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResetEvent, ReadFile, MulDiv, MoveFileExA, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTickCount, GetThreadLocale, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FindResourceA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CopyFileA, CompareStringA, CloseHandle
    > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
    > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt
    > user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, AttachThreadInput, CharNextA, CharLowerA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
    > kernel32.dll: Sleep
    > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
    > comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create
    
    ( 0 exports ) 
    PDFiD.: -
    RDS...: NSRL Reference Data Set
    Простенький "русский" вирус из категории шантажистов. К сожалению источник заражения не известен.
    На зараженной машине при логине под пользователем экран блокируется, на черном фоне написан текст про то что якобы используется нелицензионная копия Windows и для разблокировки нужно "отправить SMS на номер 8355 с кодом +2461234 стоимость 100 руб. (3$)" для получения кода разблокировки.
    Не блокирует комбинацию Ctrl+Alt+Del, однако находится поверх всех окон, так что вызвав диспетчер задач увидеть его удается лишь на доли секунды.
    Устанавливается как C:\Windows\Media\Sound.exe (именно так, без %SYSTEMROOT%, путь c:\Windows... жестко прописан внутри тела, вообще тело не запаковано и не зашифрованно, думаю его можно будет легко проанализировать, есть подозрение что кодом для "разблокировки" является 69b453, но проверить пока времени не было).
    Автозапуск прописывается в HKLM\Software\Microsoft\Windows\CurrentVersion\Win dows\RunOnce.
    Я удалил по сети с помощью PsTools убив процесс sound.exe, сразу же продолжилась загрузка рабочего стола, откуда почистил остальное. Хотя возможны простые варианты по удалению файла или ветки реестра.
    Пока писал данный текст, получил ответ от ЛК (и авиры):
    Hello,

    sound.dat - Trojan-Ransom.Win32.Delf.h

    New malicious software was found in the attached file. Its detection will be included in the next update.
    Thank you for your help.
    авира добавили в базу как TR/LockScreen.B.

    Тело прислать на терзания?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запакуйте файл в zip-архив с паролем virus
    и загрузите через ссылку http://virusinfo.info/upload_virus.php?tid=49021

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2007
    Сообщений
    48
    Вес репутации
    52
    Файл сохранён как 090701_084216_sound_4a4ae9288a2c1.zip
    Размер файла 196332
    MD5 186f3130b886bc4215f6d4cc26026dac

    Пронализировал на сэндбоксе. Вирус при запуске из любого места копирует себя в C:\Windows\Media\Sound.exe, добавляет в автозагрузку через вышеописанный ключ и добавляет запись в реестр для удаления исходного файла при следующей перезагрузке (при помощи функции WinAPI MoveFileExA):
    HKLM\​System\​CurrentControlSet\​Control\​Session Manager\PendingFileRenameOperations
    Во время работы мониторит клавишу VK_MENU (1.
    Судя по всему ожидает ввода кода 69b453, после ввода выдает сообещние 'СИСТЕМА АКТИВИРОВАНА' и помещает файл c:\Windows\Media\Sound.exe в список удаления при следующей загрузке функцией MoveFileExA.

  5. #4
    Junior Member Репутация
    Регистрация
    30.11.2010
    Сообщений
    2
    Вес репутации
    26

    Backdoor.Win32.Delf.vsw [Help]

    Спасибо

Похожие темы

  1. uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение
    От NickGolovko в разделе Вредоносные программы
    Ответов: 48
    Последнее сообщение: 30.11.2009, 23:09
  2. Ответов: 1
    Последнее сообщение: 30.06.2009, 07:47
  3. Trojan-Clicker.Win32.Delf.cbe и trojan.win32.Agent.clui
    От дмитрий777 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 15.06.2009, 17:42
  4. Как удалить trojan.win32.Agent.clui и Trojan-Clicker.Win32.Delf.cbe
    От дмитрий777 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 15.06.2009, 14:23
  5. Trojan.Win32.Delf.aig -Trojan, which requires payment of a ransom through SMS.
    От MAPKOBKA^^ в разделе Custom descriptions of malware
    Ответов: 1
    Последнее сообщение: 05.12.2007, 00:55

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00039 seconds with 16 queries