Trojan-Clicker.Win32.Delf.cn

22.08.2013

Технічні деталі

Примітивний Win32-троянець, створений для відкриття у вікні Internet Explorer наступної інтернет сторінки без відома користувача:

http://24 *** search.com / *** irect1.php

Троянська програма являє собою Windows PE EXE-файл, написана на мові Delphi і має розмір близько 196 КБ. Упакована UPX. Розмір розпакованого файлу - близько 527 КБ.

Після запуску троянець копіює себе в таку папку з ім'ям svchost.exe:

C: \ DriverLoad \ svchost.exe

Потім реєструє себе в ключі автозапуску системного реєстру:

[HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run]
"DriverLoad" = "C: \ DriverLoad \ svchost.exe-dl"
"DriverCheck" = "C: \ DriverLoad \ svchost.exe-dc"
"SystemDriverLoad" = "C: \ DriverLoad \ svchost.exe-sdl"
"SystemDriverCheck" = "C: \ DriverLoad \ svchost.exe-sdc"
"SystemCheck" = "C: \ DriverLoad \ svchost.exe-sc"

При кожній наступній завантаженні Windows автоматично запустить файл-троянець.