Вирус Trojan-Clicker.Win32.Delf.dgy

5 комментариев

Публикую очередную уязвимость — вирус Trojan-Clicker.Win32.Delf.dgy.

Из антивирусов его пока определил только Kaspersky    с базами  7.0.0.125  от  2010.03.26 как   Trojan-Clicker.Win32.Delf.dgy.

Спасибо Banga за присланный экземпляр.

Файл отправлен на анализ в лабораторию ESET.

Толкового описания пока нет.

Пока что известно, что это  Trojan-Clicker — т.е. троян , загружающийся с попап окон (ну это мое предположение).

Вирус создает  файл Desktop.exe в папке C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (это на Windows7).

Очевидно еще должна присутствовать запись в реестре.

Вирус так же формирует файл Autorun.inf и autorun.ini на сменных носителях и пишет Desktop.exe в корень накопителя.

Более подробное описание и лечение выложу после результатов борьбы с данным вирусом.

В продолжении результаты теста на virustotal.com.

File Desktop.exe received on 2010.03.26 08:13:32 (UTC)
AntivirusVersionLast UpdateResult
a-squared4.5.0.502010.03.26
AhnLab-V35.0.0.22010.03.25
AntiVir7.10.5.2252010.03.25
Antiy-AVL2.0.3.72010.03.26
Authentium5.2.0.52010.03.26
Avast4.8.1351.02010.03.25
Avast55.0.332.02010.03.25
AVG9.0.0.7872010.03.26
BitDefender7.22010.03.26
CAT-QuickHeal10.002010.03.26(Suspicious) — DNAScan
ClamAV0.96.0.0-git2010.03.26
Comodo43902010.03.26Heur.Packed.Unknown
DrWeb5.0.1.122222010.03.26
eSafe7.0.17.02010.03.25Suspicious File
eTrust-Vet35.2.73892010.03.25
F-Prot4.5.1.852010.03.25
F-Secure9.0.15370.02010.03.26
Fortinet4.0.14.02010.03.24
GData192010.03.26
IkarusT3.1.1.80.02010.03.26
Jiangmin13.0.9002010.03.26TrojanDownloader.Banload.eac
K7AntiVirus7.10.10042010.03.22
Kaspersky7.0.0.1252010.03.26Trojan-Clicker.Win32.Delf.dgy
McAfee59312010.03.25
McAfee+Artemis59312010.03.25
McAfee-GW-Edition6.8.52010.03.26
Microsoft1.56052010.03.26
NOD3249752010.03.25
Norman6.04.102010.03.25
nProtect2009.1.8.02010.03.26
Panda10.0.2.22010.03.25
PCTools7.0.3.52010.03.26
Prevx3.02010.03.26
Rising22.40.04.042010.03.26
Sophos4.52.02010.03.26
Sunbelt60932010.03.26
Symantec20091.2.0.412010.03.26Suspicious.Insight
TheHacker6.5.2.0.2452010.03.26
TrendMicro9.120.0.10042010.03.26PAK_Generic.001
VBA323.12.12.22010.03.25
ViRobot2010.3.26.22452010.03.26
VirusBuster5.0.27.02010.03.25
Additional information
File size: 152064 bytes
MD5   : 223e47966bd2217de3b1ff34fc020574
SHA1  : d5980b2710e714c216e044508d9d655bbc16c06a
SHA256: 8584b3b9e23ddf8b2ab59d6c81ca6d99318738cc6c71fefa5319c1561ab53b8c
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp…..: 0x2A425E19 (Sat Jun 20 00:22:17 1992)
machinetype…….: 0x14C (Intel I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x63000 0x22600 8.00 95de9a9c70265ea6793e6784f9ccc4ce
.rsrc 0x64000 0x3000 0x2800 6.00 f51644864adcd9eb7fcc0e61e61bd043

( 7 imports )

> advapi32.dll: RegQueryValueExA
> comctl32.dll: ImageList_SetIconSize
> gdi32.dll: UnrealizeObject
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> oleaut32.dll: SysFreeString
> shell32.dll: ShellExecuteA
> user32.dll: GetKeyboardType

( 0 exports )

TrID  : File type identification
Win32 EXE PECompact compressed (v2.x) (48.0%)
Win32 EXE PECompact compressed (generic) (33.8%)
Win32 Executable Generic (6.9%)
Win32 Dynamic Link Library (generic) (6.1%)
Win16/32 Executable Delphi generic (1.6%)
ssdeep: 3072:Lr0EG11QThf4QdP3UgHeZFn4bpfQJ6xGFFV8a9gQX8ullX:LNSg3UJZFnwXxZidlx
sigcheck: publisher….: n/a
copyright….: n/a
product……: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments…..: n/a
signers……: —
signing date.: —
verified…..: Unsigned
PEiD  : —
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle, PECompact
RDS   : NSRL Reference Data Set

5 thoughts on “Вирус Trojan-Clicker.Win32.Delf.dgy”

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Изображения должны быть включены!