Trojan-Proxy.Win32. Delf.ab

Троянская программа, запускающая прокси-сервер на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 239616 байт.

Инсталляция

После запуска троянец копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\services.exe

С целью автоматического запуска при последующем старте ОС вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe  %WinDir%\services.exe"

Деструктивная активность

Троянская программа запускает прокси-сервер на произвольном TCP-порте, затем регистрируется на сайте злоумышленника, сообщая номер открытого порта. В результате компьютер пользователя может быть использован злоумышленниками удаленно (в том числе для маскировки их работы в сети).