Trojan-Clicker.Win32.Delf.cn
22.08.2013
Технічні деталі
Примітивний Win32-троянець, створений для відкриття у вікні Internet Explorer наступної інтернет сторінки без відома користувача:
http://24 *** search.com / *** irect1.php
Троянська програма являє собою Windows PE EXE-файл, написана на мові Delphi і має розмір близько 196 КБ. Упакована UPX. Розмір розпакованого файлу - близько 527 КБ.
Після запуску троянець копіює себе в таку папку з ім'ям svchost.exe:
C: \ DriverLoad \ svchost.exe
Потім реєструє себе в ключі автозапуску системного реєстру:
[HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run]
"DriverLoad" = "C: \ DriverLoad \ svchost.exe-dl"
"DriverCheck" = "C: \ DriverLoad \ svchost.exe-dc"
"SystemDriverLoad" = "C: \ DriverLoad \ svchost.exe-sdl"
"SystemDriverCheck" = "C: \ DriverLoad \ svchost.exe-sdc"
"SystemCheck" = "C: \ DriverLoad \ svchost.exe-sc"
При кожній наступній завантаженні Windows автоматично запустить файл-троянець.