Trojan-Ransom.Win32.Delf.h

[NStorm]

Код:

Антивирус	Версия	Обновление	Результат
a-squared	4.5.0.18	2009.06.30	Virus.Win32.Delf!IK
AhnLab-V3	5.0.0.2	2009.06.30	-
AntiVir	7.9.0.199	2009.06.30	-
Antiy-AVL	2.0.3.1	2009.06.30	-
Authentium	5.1.2.4	2009.06.29	-
Avast	4.8.1335.0	2009.06.29	-
AVG	8.5.0.339	2009.06.30	-
BitDefender	7.2	2009.06.30	-
CAT-QuickHeal	10.00	2009.06.29	-
ClamAV	0.94.1	2009.06.30	-
Comodo	1507	2009.06.30	-
DrWeb	5.0.0.12182	2009.06.30	Trojan.Winlock.origin
eSafe	7.0.17.0	2009.06.29	-
eTrust-Vet	31.6.6590	2009.06.30	-
F-Prot	4.4.4.56	2009.06.29	-
F-Secure	8.0.14470.0	2009.06.30	-
Fortinet	3.117.0.0	2009.06.30	-
GData	19	2009.06.30	-
Ikarus	T3.1.1.64.0	2009.06.30	Virus.Win32.Delf
Jiangmin	11.0.706	2009.06.30	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.06.30	-
McAfee	5661	2009.06.29	-
McAfee+Artemis	5661	2009.06.29	-
McAfee-GW-Edition	6.7.6	2009.06.30	-
Microsoft	1.4803	2009.06.30	-
NOD32	4200	2009.06.30	-
Norman	6.01.09	2009.06.29	-
nProtect	2009.1.8.0	2009.06.30	-
Panda	10.0.0.14	2009.06.29	-
PCTools	4.4.2.0	2009.06.30	-
Rising	21.36.14.00	2009.06.30	-
Sophos	4.43.0	2009.06.30	-
Sunbelt	3.2.1858.2	2009.06.29	-
Symantec	1.4.4.12	2009.06.30	-
TheHacker	6.3.4.3.358	2009.06.30	-
TrendMicro	8.950.0.1094	2009.06.30	-
VBA32	3.12.10.7	2009.06.30	-
ViRobot	2009.6.30.1812	2009.06.30	-
VirusBuster	4.6.5.0	2009.06.29	-
Дополнительная информация
File size: 387584 bytes
MD5...: 8bd4b97176ff5382d384dc7e61f52d68
SHA1..: 323607ce5391ce9196f05288635ae841c037d8c4
SHA256: 3638395afd948847f2f82b3cc8fdc9e4a47f49cf0f83aa374c3b01c6580233c4
ssdeep: 6144:z/W1Me/r0emFHfWRPwxANmpVkXYYARCQ068hfrFy0boLSS57iA68fuBl:TW
Oe/QeY/WRYO1XVvQ0NFbo2obuP
PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
TrID..: File type identification
-
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x50290
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x4f2d8 0x4f400 6.53 5f33366658d4588c20a5e9dccf720f0d
DATA 0x51000 0x1170 0x1200 4.11 9308bb020b72d9547b26aea22b55e7ab
BSS 0x53000 0xbdd 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x54000 0x1fce 0x2000 4.94 9cd6eea2929088e672c201f895f5af7e
.tls 0x56000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x57000 0x18 0x200 0.20 f812e2dd7668d7eb96c403290f7b169b
.reloc 0x58000 0x5a68 0x5c00 6.64 fb37a219a961fdd9cd9cef57615d5927
.rsrc 0x5e000 0x6200 0x6200 4.71 18ef660c3538febaefe79cfac36855b9

( 13 imports ) 
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegFlushKey, RegDeleteValueA, RegCreateKeyExA, RegCloseKey
> kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResetEvent, ReadFile, MulDiv, MoveFileExA, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTickCount, GetThreadLocale, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FindResourceA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CopyFileA, CompareStringA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, AttachThreadInput, CharNextA, CharLowerA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set

Простенький "русский" вирус из категории шантажистов. К сожалению источник заражения не известен.
На зараженной машине при логине под пользователем экран блокируется, на черном фоне написан текст про то что якобы используется нелицензионная копия Windows и для разблокировки нужно "отправить SMS на номер 8355 с кодом +2461234 стоимость 100 руб. (3$)" для получения кода разблокировки.
Не блокирует комбинацию Ctrl+Alt+Del, однако находится поверх всех окон, так что вызвав диспетчер задач увидеть его удается лишь на доли секунды.
Устанавливается как C:\Windows\Media\Sound.exe (именно так, без %SYSTEMROOT%, путь c:\Windows... жестко прописан внутри тела, вообще тело не запаковано и не зашифрованно, думаю его можно будет легко проанализировать, есть подозрение что кодом для "разблокировки" является 69b453, но проверить пока времени не было).
Автозапуск прописывается в HKLM\Software\Microsoft\Windows\CurrentVersion\Win dows\RunOnce.
Я удалил по сети с помощью PsTools убив процесс sound.exe, сразу же продолжилась загрузка рабочего стола, откуда почистил остальное. Хотя возможны простые варианты по удалению файла или ветки реестра.
Пока писал данный текст, получил ответ от ЛК (и авиры):

Hello,

sound.dat - Trojan-Ransom.Win32.Delf.h

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

авира добавили в базу как TR/LockScreen.B.

Тело прислать на терзания?

[AndreyKa]

Запакуйте файл в zip-архив с паролем virus
и загрузите через ссылку http://virusinfo.info/upload_virus.php?tid=49021

[NStorm]

Файл сохранён как 090701_084216_sound_4a4ae9288a2c1.zip
Размер файла 196332
MD5 186f3130b886bc4215f6d4cc26026dac

Пронализировал на сэндбоксе. Вирус при запуске из любого места копирует себя в C:\Windows\Media\Sound.exe, добавляет в автозагрузку через вышеописанный ключ и добавляет запись в реестр для удаления исходного файла при следующей перезагрузке (при помощи функции WinAPI MoveFileExA):
HKLM\​System\​CurrentControlSet\​Control\​Session Manager\PendingFileRenameOperations
Во время работы мониторит клавишу VK_MENU (1.
Судя по всему ожидает ввода кода 69b453, после ввода выдает сообещние 'СИСТЕМА АКТИВИРОВАНА' и помещает файл c:\Windows\Media\Sound.exe в список удаления при следующей загрузке функцией MoveFileExA.

[Lw?]

Спасибо