На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan-Dropper

Trojan-Dropper.Win32.Delf


29.11.2004

Trojan-Dropper.Win32.Delf

Рассылка данного трояна была обнаружена 29.11.2004, рассылка шла в виде писем с предложением испытать программу для определения координал GSM телефона. Данный метод является классикой социальной инженерии.

Текст письма:

********************** Начало письма ***********
GSM-Локатор v1.05
П р е д л а г а е м В а ш е м у в н и м а н и ю у н ик а л ь н у ю п р о г р а м м у GSM-Локатор 
версии 1.05. Данная программа позволяет определить местонахождение мобильного телефона 
в России и если подключена карта города (города, к которым имеются карты, представлены 
справа) где находится абонент, то спроецировать местоположение на карту. Если соответствующей 
карты нет, то отображается город/область местоположения телефона. Точность определения 
составляет:
для города - 10-20 метров (!)
для пригорода - от 100 до 200 метров, в зависимости от плотности расположения 
ретрансляторов оператора связи

На данный момент поддерживается определение местоположение сотовых телефонов всех 
операторов кроме Сонет . 
Для телефонов сети МТС и Билайн и их представительств в разных городах никаких ограничений 
по определению местоположения нет. При роуминге выводится информация о стране.

Для работы этой программы необходимо подключение к интернету. Минимальная конфигурация 
компьютера: Pentium 133, 16 Mb RAM, Windows 95/98/Me/NT/2000/XP.

Данная программа платная. Одна лицензия стоит 1500 рублей. 

Демо версию программы Вы можете скачать здесь , она рассчитана на 24 часа полноценной 
работы с момента запуска.

Размер дистрибутива 135 Кб, без карт.

По вопросам приобретения звоните +7 (095) 508-11-86 

Примечание: разработчик программы снимает с себя ответственность за возможное нарушение 
закона при использовании данной программы.

********************** Конец письма ***********

 

К письму приложен файл GSM-Locator v1.05.exe размером 137216 байт. Файл ничем не сжат, написан на Delphi. Касперский опознает его как Trojan-Dropper.Win32.Delf.fr.

По экспресс-анализу он и является дроппером, т.к. его задачей является помещение на компьютер нескольких троянов. В результате на компьютере в папке System появляется ряд файлов:

mstasks.exe - 43520 байт, TrojanDropper.Win32.Small.ne*** (в хвосте этого файла есть еще один)
sdchost.exe - 7004 байта, TrojanDownloader.Win32.Small.ub
sdchostc.exe - 12000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sdchosts.exe - 17000 байта, сжат UPX, TrojanProxy.Win32.Daemonize.ab
sorte32.dll - 4000 байт, сжата UPX, TrojanDownloader.Win32.Small.ua

Стоит заметить, что все это "зверье" хранится внутри GSM-Locator v1.05.exe (они приписаны в хвост)
В ключе Run появляется две записи для автозагрузкит троянов:
"mstasks"="C:\\WINDOWS\\SYSTEM\\mstasks.exe"
"Direct settings"="C:\\WINDOWS\\SYSTEM\\sdchost.exe"
проявлением трояна является обмен с сайтом zsewaq3211.infobox.ru вида, который идет с периодически.





Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.