Trojan-Clicker.Win32.Delf.cn

Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя.

Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя:
 
 http://24***search.com/***irect1.php

Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ.

После запуска троянец копирует себя в следующую папку с именем svchost.exe:

 
 C:\DriverLoad\svchost.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
  "DriverLoad"="C:\DriverLoad\svchost.exe -dl"
  "DriverCheck"="C:\DriverLoad\svchost.exe -dc"
  "SystemDriverLoad"="C:\DriverLoad\svchost.exe -sdl"
  "SystemDriverCheck"="C:\DriverLoad\svchost.exe -sdc"
  "SystemCheck"="C:\DriverLoad\svchost.exe -sc"
 

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.