• Win32/Delf.NZL

  • 0
Автор
КатегорияТроян
Дата обнаружения13.02.2009
Размер194560
Другие названия
Adclicker-GV.trojan (McAfee)
Trojan:Win32/Delf.EO (Microsoft)
Trojan.Horse (Symantec)

Краткое описание

Win32/Delf.NZL-это троян, который пытается продвигать определенные веб-сайты. Файл run-time сжат с помощью UPX .

Как устанавливается

При выполнении троян копирует себя в следующие папки:

  • %windir%\­dhcp\­svchost.exe

Троян регистрирует себя в качестве системной службы, используя следующее имя:

  • DhcpSrv

Это приводит к тому, что троян запускается при каждой загрузке системы.

Следующие записи реестра:

  • [HKEY_LOCAL_MACHINE\­System\­CurrentControlSet\­Services\­DhcpSrv]
    • "Description" = "Manages network configuration by registering and updating IP addresses Services and DNS names services."
    • "Type" = 272
    • "Start" = 2
    • "ErrorControl" = 1
    • "ImagePath" = "%windir%\­dhcp\­svchost.exe"
    • "DisplayName" = "Dhcp server"
    • "ObjectName" = "LocalSystem"
  • [HKEY_LOCAL_MACHINE\­System\­CurrentControlSet\­Services\­DhcpSrv\­Security]
    • "Security" = %hexvalue%
  • [HKEY_LOCAL_MACHINE\­System\­CurrentControlSet\­Services\­DhcpSrv\­Enum]
    • "0" = "Root\­LEGACY_DHCPSRV\­0000"
    • "Count"  = 1
    • "NextInstance" = 1
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings\­Zones\­3]
    • "1601" = 0
  • "Description" = "Manages network configuration by registering and updating IP addresses Services and DNS names services."
  • "Type" = 272
  • "Start" = 2
  • "ErrorControl" = 1
  • "ImagePath" = "%windir%\­dhcp\­svchost.exe"
  • "DisplayName" = "Dhcp server"
  • "ObjectName" = "LocalSystem"
  • "Security" = %hexvalue%
  • "0" = "Root\­LEGACY_DHCPSRV\­0000"
  • "Count"  = 1
  • "NextInstance" = 1
  • "1601" = 0

Дополнительная информация

Win32/Delf.NZL-это троян, который пытается продвигать определенные веб-сайты.

Троян получает данные и команды от удаленного компьютера через интернет.

Троян содержит URL адреса. Используется HTTP протокол.

Поддерживается выполнение следующих операций:

  • open a specific URL address
  • redirect network traffic

Троян может внести изменения в ледующий файл:

  • %system%\­drivers\­etc\­hosts

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *