Trojan-Dropper. Win32.Delf.ql

Троянская программа, создана для скрытной установки в систему других программ. Основной файл является приложением Windows (PE EXE-файл), написан на Delphi. Размер известных файлов данного троянца значительно варьируется.

Деструктивная активность

Исполняемый файл дроппера имеет следующую структуру:

Основной код дроппера
Извлекаемый файл № 1
Извлекаемый файл № 2
...
Конфигурация

При запуске основной код дроппера получает управление первым, после чего открывает свой исполняемый файл и считывает конфигурацию, которая находится в конце файла.

Конфигурация представляет собой массив следующих структур:

Имя под которым будет сохранен извлекаемый файл
Символ «1» если файл нужно запустить после извлечения и «0» если не нужно запускать
Байт 0x02
Размер указанного в списке файла, текстовой строкой
Байт 0x01

Дроппер интерпретирует конфигурацию и извлекает из своего тела вложенные файлы в свою рабочую папку.