Backdoor.Win32. Delf.pf

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 25372 байта. Упакована с помощью Petite, распакованный размер — около 44 КБ.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\wovexec.exe

С целью автоматического запуска при последующем старте ОС вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@ = "%System%\wovexec.exe"

Деструктивная активность

Троянец ищет в системе окна со следующими строками в заголовках:

Диск 3,5 (A:)
Disk 3,5 (A:)
Свойства: Диск 3,5 (A:)
Properties: Disk 3,5 (A:)

Если одно из таких окон найдено, вредоносная программа производит поиск файлов с расширением .doc на диске «A:». В случае присутствия подобных файлов производится их замещение телом троянца с сохранением оригинального имени файла и заменой расширения на .exe

Действия данного трояна приводят к потере содержимого пользовательских текстовых документов.

Другие названия

Backdoor.Win32.Delf.pf («Лаборатория Касперского») также известен как: Backdoor.Delf.pf («Лаборатория Касперского»), Backdoor.Trojan (Symantec), BKDR_DELF.PF (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Delf.13.AT (Grisoft), Trojan Horse (Panda), NewHeur_PE (Eset)