Trojan.Win32.Delf.kf

Jest to trojan zmieniaj膮cy konfiguracj臋 klienta Winny s艂u偶膮cego do wymiany plik贸w. Modyfikacje daj膮 zdalnemu cyberprzest臋pcy pe艂ny dost臋p do plik贸w zapisanych na zainfekowanym komputerze. Trojan ma posta膰 pliku PE EXE o rozmiarze 199 241 bajt贸w (kompresja FSG, rozmiar po rozpakowaniu - oko艂o 700 KB).

Instalacja

Po uruchomieniu trojan wy艣wietla na ekranie komunikat o b艂臋dzie w j臋zyku japo艅skim.

Podczas instalacji szkodnik kopiuje si臋 z nazw膮 host.exe do nast臋puj膮cego foldera:

%System%drivershost.exe

Trojan tworzy w艂asny klucz rejestru, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu Windows:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"host"="%System%drivershost.exe"

Funkcje trojana

Trojan modyfikuje plik UpFolder.txt znajduj膮cy si臋 w folderze klienta Winny. Plik ten zawiera 艣cie偶ki dost臋pu do wsp贸艂dzielonych plik贸w, kt贸re s膮 udost臋pniane wszystkim u偶ytkownikom tego klienta.

Trojan dodaje do pliku UpFolder.txt 艣cie偶ki dost臋pu do folder贸w, w kt贸rych znajduj膮 si臋 pliki o nast臋puj膮cych rozszerzeniach:

asf
avi
bak
BAK
bas
BAS
bat
BAT
bin
BIN
bmp
BMP
cab
CAB
cfg
CFG
chm
CHM
class
CLASS
com
COM
cpp
CPP
dat
DAT
dll
DLL
exe
EXE
frm
FRM
gca
GCA
gif
GIF
hlp
HLP
htm
HTM
html
HTML
img
IMG
inf
INF
ini
INI
iso
ISO
java
JAVA
jpg
js
JS
jse
JSE
lnk
LNK
log
LOG
lzh
LZH
mov
mp3
MP3
mpg
ocx
OCX
ogm
OGM
pas
PAS
png
PNG
ra
RA
ram
RAM
rar
RAR
reg
REG
rm
RM
scr
SCR
swf
SWF
sys
SYS
TXT
txt
url
URL
vbp
VBP
vbs
VBS
vbw
VBW
vob
VOB
wav
WAV
wma
WMA
wmv
WMV
xml
XML
zip
ZIP

Trojan udost臋pnia dla wszystkich u偶ytkownik贸w klienta Winny foldery o nast臋puj膮cych nazwach:

.FILES
BIN
C#
C
C++
CPP
DEMO
DRM
INCLUDE
LIB
LOTUS
VB
_TS
ALBUM
AMPLE
APACHE
APP
AUDIO
BGM
BOOK
CABOS
CACHE
CAD
CANON
CASHE
COMMON
CONFIG
COOKIES
DELPHI
DISK
DIVX
DOWN
DRIVERS
DRV
DVD
EPSON
FJUTY
FONT
GAME
GBA
GIGA POCKET
HELP
HOMEPAGE
I386
ICON
ITUNES
JAVA
JUST
KEYGEN
LIMEWIRE
LOCAL
MANUAL
MUSIC
MY PICTURESNENNGA
N64
NES
NIS
OPTION
PIFMAE
PLAYER
PLUGIN
PRINT
PROGRAM
PS2
README
RECENT
RECYCLE
SENDTO
SERIAL
SERVICE
SINGLE
SKIN
SOFT
SONICSTAGE
SOUND
SOURCE
SYSTEM
TANKEN
TEMP
TMP
TOOL
TORRENT
TOSUTILS
USERDATA
VALUE
VIDEO
VISUAL
WINNY
XBOX
YAHOO
YOUGO

Dodatkowo trojan udost臋pnia foldery, kt贸rych nazwy zawieraj膮 japo艅skie symbole.

Szkodnik skanuje poni偶sze klucze rejestru w poszukiwaniu adresu e-mail u偶ytkownika zainfekowanego komputera:

[HKCUSoftwareMicrosoftInternet Account ManagerDefault Mail Account]
[HKCUSoftwareMicrosoftInternet Account ManagerAccountsSMTP Email Address]

Trojan tworzy w folderze g艂贸wnym dysku C: plik o poni偶szej nazwie:

C:(ci膮g japo艅skich symboli) UpFolder(data uruchomienia trojana)(adres e-mail u偶ytkownika)

Ponadto trojan modyfikuje plik %Windir%system.ini dodaj膮c do niego poni偶sze linie:

[UPALL]
ID=[EMAIL ADDRESS]

Usuwanie szkodnika z zainfekowanego systemu

W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:

  • Usun膮膰 z dysku nast臋puj膮ce pliki:
    %System%drivershost.exe
    C:(ci膮g japo艅skich symboli) UpFolder(data uruchomienia trojana)(adres e-mail u偶ytkownika)
    

  • Usun膮膰 z rejestru nast臋puj膮cy klucz:

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "host"="%System%drivershost.exe"

  • Zmodyfikowa膰 plik %Windir%system.ini usuwaj膮c z niego poni偶sze linie:
    [UPALL]
    ID=[EMAIL ADDRESS]
    

  • Przywr贸ci膰 poprawn膮 konfiguracj臋 klienta Winny; upewni膰 si臋, 偶e plik UpFolder.txt zawiera list臋 tylko tych zasob贸w, kt贸re maj膮 by膰 udost臋pniane dla wszystkich u偶ytkownik贸w.
  • Przeprowadzi膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z wersji testowej programu Kaspersky Anti-Virus).