Trojan.Win32.Delf.kf
Po uruchomieniu trojan wy艣wietla na ekranie komunikat o b艂臋dzie w j臋zyku japo艅skim.
Podczas instalacji szkodnik kopiuje si臋 z nazw膮 host.exe do nast臋puj膮cego foldera:
%System%drivershost.exe
Trojan tworzy w艂asny klucz rejestru, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu Windows:
"host"="%System%drivershost.exe"
Trojan modyfikuje plik UpFolder.txt znajduj膮cy si臋 w folderze klienta Winny. Plik ten zawiera 艣cie偶ki dost臋pu do wsp贸艂dzielonych plik贸w, kt贸re s膮 udost臋pniane wszystkim u偶ytkownikom tego klienta.
Trojan dodaje do pliku UpFolder.txt 艣cie偶ki dost臋pu do folder贸w, w kt贸rych znajduj膮 si臋 pliki o nast臋puj膮cych rozszerzeniach:
asf avi bak BAK bas BAS bat BAT bin BIN bmp BMP cab CAB cfg CFG chm CHM class CLASS com COM cpp CPP dat DAT dll DLL exe EXE frm FRM gca GCA gif GIF hlp HLP htm HTM html HTML img IMG inf INF ini INI iso ISO java JAVA jpg js JS jse JSE lnk LNK log LOG lzh LZH mov mp3 MP3 mpg ocx OCX ogm OGM pas PAS png PNG ra RA ram RAM rar RAR reg REG rm RM scr SCR swf SWF sys SYS TXT txt url URL vbp VBP vbs VBS vbw VBW vob VOB wav WAV wma WMA wmv WMV xml XML zip ZIP
Trojan udost臋pnia dla wszystkich u偶ytkownik贸w klienta Winny foldery o nast臋puj膮cych nazwach:
.FILES BIN C# C C++ CPP DEMO DRM INCLUDE LIB LOTUS VB _TS ALBUM AMPLE APACHE APP AUDIO BGM BOOK CABOS CACHE CAD CANON CASHE COMMON CONFIG COOKIES DELPHI DISK DIVX DOWN DRIVERS DRV DVD EPSON FJUTY FONT GAME GBA GIGA POCKET HELP HOMEPAGE I386 ICON ITUNES JAVA JUST KEYGEN LIMEWIRE LOCAL MANUAL MUSIC MY PICTURESNENNGA N64 NES NIS OPTION PIFMAE PLAYER PLUGIN PRINT PROGRAM PS2 README RECENT RECYCLE SENDTO SERIAL SERVICE SINGLE SKIN SOFT SONICSTAGE SOUND SOURCE SYSTEM TANKEN TEMP TMP TOOL TORRENT TOSUTILS USERDATA VALUE VIDEO VISUAL WINNY XBOX YAHOO YOUGO
Dodatkowo trojan udost臋pnia foldery, kt贸rych nazwy zawieraj膮 japo艅skie symbole.
Szkodnik skanuje poni偶sze klucze rejestru w poszukiwaniu adresu e-mail u偶ytkownika zainfekowanego komputera:
[HKCUSoftwareMicrosoftInternet Account ManagerAccountsSMTP Email Address]
Trojan tworzy w folderze g艂贸wnym dysku C: plik o poni偶szej nazwie:
C:(ci膮g japo艅skich symboli) UpFolder(data uruchomienia trojana)(adres e-mail u偶ytkownika)
Ponadto trojan modyfikuje plik %Windir%system.ini dodaj膮c do niego poni偶sze linie:
[UPALL] ID=[EMAIL ADDRESS]
W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:
- Usun膮膰 z dysku nast臋puj膮ce pliki:
%System%drivershost.exe C:(ci膮g japo艅skich symboli) UpFolder(data uruchomienia trojana)(adres e-mail u偶ytkownika)
- Usun膮膰 z rejestru nast臋puj膮cy klucz:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"host"="%System%drivershost.exe" - Zmodyfikowa膰 plik %Windir%system.ini usuwaj膮c z niego poni偶sze linie:
[UPALL] ID=[EMAIL ADDRESS]
- Przywr贸ci膰 poprawn膮 konfiguracj臋 klienta Winny; upewni膰 si臋, 偶e plik UpFolder.txt zawiera list臋 tylko tych zasob贸w, kt贸re maj膮 by膰 udost臋pniane dla wszystkich u偶ytkownik贸w.
- Przeprowadzi膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z wersji testowej programu Kaspersky Anti-Virus).