Что делает вирус Win32/TrojanDownloader.Delf ???

Технические детали

Троянская программа, загружающая из интернета другие вредоносные программы без ведома пользователя.

Является приложением Windows (PE EXE-файл) . Упакована при помощи Upack. Размер файла — около 11 КБ. Размер в распакованном виде — около 270 КБ. Написана на Borland Delphi.

Деструктивная активность

После запуска троянца создается поток, в котором каждые 20 миллисекунд происходит поиск в системе окна с классом AVP.AlertDialog. Если такое окно было обнаружено, то происходит поиск в этом окне кнопки с надписью «П&ропустить» или с надписью «&Разрешить» . Если она была найдена, то происходит поиск и имитация клика пользователем левой кнопкой мыши по найденной кнопке.

Троянец определяет наличия в ключе [HKCU\Software\Microsoft\Windows] параметра с именем "m". Если такой параметр существует, то происходит завершение работы программы, иначе происходит создание этого параметра:

[HKCU\Software\Microsoft\Windows]
"m"="m"
После чего троянец производит запуск процесса с именем svchost.exe и внедрение в него кода, содержащего процедуру загрузки файлов.

После запуска этой процедуры происходит скачивание файлов, размещенных по следующим адресам:

http://rikoger.com/lo***/1/1.exe (детектируется Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.awp)
http://rikoger.com/lo***/2/2.exe (детектируется Антивирусом Касперского как Email-Worm.Win32.Scano.as)
http://rikoger.com/lo***/3/3.exe (детектируется Антивирусом Касперского как Trojan-Proxy.Win32.Xorpix.am)
И их сохранение в системе во временном каталоге Windows под следующими именами соответственно:

csrss.exe
lsass.exe
smss.exe
После загрузки троянец проверяет размер каждого загруженного файла: если он равен нулю, то производится повторная загрузка файла.

Также для каждого файла проверяется наличие в его начале сигнатуры исполняемого EXE-файла («MZ»). Если такая сигнатура была найдена, то производится запуск сохраненного файла на исполнение.