Публикую очередную уязвимость — вирус Trojan-Clicker.Win32.Delf.dgy.
Из антивирусов его пока определил только Kaspersky с базами 7.0.0.125 от 2010.03.26 как Trojan-Clicker.Win32.Delf.dgy.
Спасибо Banga за присланный экземпляр.
Файл отправлен на анализ в лабораторию ESET.
Толкового описания пока нет.
Пока что известно, что это Trojan-Clicker — т.е. троян , загружающийся с попап окон (ну это мое предположение).
Вирус создает файл Desktop.exe в папке C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (это на Windows7).
Очевидно еще должна присутствовать запись в реестре.
Вирус так же формирует файл Autorun.inf и autorun.ini на сменных носителях и пишет Desktop.exe в корень накопителя.
Более подробное описание и лечение выложу после результатов борьбы с данным вирусом.
В продолжении результаты теста на virustotal.com.
| File Desktop.exe received on 2010.03.26 08:13:32 (UTC) | |||
| Antivirus | Version | Last Update | Result |
| a-squared | 4.5.0.50 | 2010.03.26 | — |
| AhnLab-V3 | 5.0.0.2 | 2010.03.25 | — |
| AntiVir | 7.10.5.225 | 2010.03.25 | — |
| Antiy-AVL | 2.0.3.7 | 2010.03.26 | — |
| Authentium | 5.2.0.5 | 2010.03.26 | — |
| Avast | 4.8.1351.0 | 2010.03.25 | — |
| Avast5 | 5.0.332.0 | 2010.03.25 | — |
| AVG | 9.0.0.787 | 2010.03.26 | — |
| BitDefender | 7.2 | 2010.03.26 | — |
| CAT-QuickHeal | 10.00 | 2010.03.26 | (Suspicious) — DNAScan |
| ClamAV | 0.96.0.0-git | 2010.03.26 | — |
| Comodo | 4390 | 2010.03.26 | Heur.Packed.Unknown |
| DrWeb | 5.0.1.12222 | 2010.03.26 | — |
| eSafe | 7.0.17.0 | 2010.03.25 | Suspicious File |
| eTrust-Vet | 35.2.7389 | 2010.03.25 | — |
| F-Prot | 4.5.1.85 | 2010.03.25 | — |
| F-Secure | 9.0.15370.0 | 2010.03.26 | — |
| Fortinet | 4.0.14.0 | 2010.03.24 | — |
| GData | 19 | 2010.03.26 | — |
| Ikarus | T3.1.1.80.0 | 2010.03.26 | — |
| Jiangmin | 13.0.900 | 2010.03.26 | TrojanDownloader.Banload.eac |
| K7AntiVirus | 7.10.1004 | 2010.03.22 | — |
| Kaspersky | 7.0.0.125 | 2010.03.26 | Trojan-Clicker.Win32.Delf.dgy |
| McAfee | 5931 | 2010.03.25 | — |
| McAfee+Artemis | 5931 | 2010.03.25 | — |
| McAfee-GW-Edition | 6.8.5 | 2010.03.26 | — |
| Microsoft | 1.5605 | 2010.03.26 | — |
| NOD32 | 4975 | 2010.03.25 | — |
| Norman | 6.04.10 | 2010.03.25 | — |
| nProtect | 2009.1.8.0 | 2010.03.26 | — |
| Panda | 10.0.2.2 | 2010.03.25 | — |
| PCTools | 7.0.3.5 | 2010.03.26 | — |
| Prevx | 3.0 | 2010.03.26 | — |
| Rising | 22.40.04.04 | 2010.03.26 | — |
| Sophos | 4.52.0 | 2010.03.26 | — |
| Sunbelt | 6093 | 2010.03.26 | — |
| Symantec | 20091.2.0.41 | 2010.03.26 | Suspicious.Insight |
| TheHacker | 6.5.2.0.245 | 2010.03.26 | — |
| TrendMicro | 9.120.0.1004 | 2010.03.26 | PAK_Generic.001 |
| VBA32 | 3.12.12.2 | 2010.03.25 | — |
| ViRobot | 2010.3.26.2245 | 2010.03.26 | — |
| VirusBuster | 5.0.27.0 | 2010.03.25 | — |
| Additional information | |||
| File size: 152064 bytes | |||
| MD5 : 223e47966bd2217de3b1ff34fc020574 | |||
| SHA1 : d5980b2710e714c216e044508d9d655bbc16c06a | |||
| SHA256: 8584b3b9e23ddf8b2ab59d6c81ca6d99318738cc6c71fefa5319c1561ab53b8c | |||
| PEInfo: PE Structure information ( base data ) ( 2 sections ) ( 7 imports ) > advapi32.dll: RegQueryValueExA ( 0 exports ) | |||
| TrID : File type identification Win32 EXE PECompact compressed (v2.x) (48.0%) Win32 EXE PECompact compressed (generic) (33.8%) Win32 Executable Generic (6.9%) Win32 Dynamic Link Library (generic) (6.1%) Win16/32 Executable Delphi generic (1.6%) | |||
| ssdeep: 3072:Lr0EG11QThf4QdP3UgHeZFn4bpfQJ6xGFFV8a9gQX8ullX:LNSg3UJZFnwXxZidlx | |||
| sigcheck: publisher….: n/a copyright….: n/a product……: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments…..: n/a signers……: — signing date.: — verified…..: Unsigned | |||
| PEiD : — | |||
| packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact | |||
| packers (F-Prot): PecBundle, PECompact | |||
| RDS : NSRL Reference Data Set — | |||
А можна сам екземпляр?
да, отправь запрос на spider [dog] bsyteam.net — я в ответ в понедельник вышлю.
Выслал.
получил