Trojan-Clicker.Win32.Delf.cn

Примитивный Win32-троянец, созданный для открытия в окне Internet Explorer следующей интернет страницы без ведома пользователя:

  
  http://24***search.com/***irect1.php

Троянская программа представляет собой Windows PE EXE-файл, написана на языке Delphi и имеет размер около 196 КБ. Упакована UPX. Размер распакованного файла — около 527 КБ.

После запуска троянец копирует себя в следующую папку с именем svchost.exe:

  
  C:\DriverLoad\svchost.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
   "DriverLoad"="C:\DriverLoad\svchost.exe -dl"
   "DriverCheck"="C:\DriverLoad\svchost.exe -dc"
   "SystemDriverLoad"="C:\DriverLoad\svchost.exe -sdl"
   "SystemDriverCheck"="C:\DriverLoad\svchost.exe -sdc"
   "SystemCheck"="C:\DriverLoad\svchost.exe -sc"
  

При каждой следующей загрузке Windows автоматически запустит файл-троянец.