Троянская программа. Является приложением Windows (PE EXE-файл).
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\wovexec.exe
С целью автоматического запуска при последующем старте ОС вирус добавляет ссылку на данный файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@ = "%System%\wovexec.exe"
Деструктивная активность
Троянец ищет в системе окна со следующими строками в заголовках:
Диск 3,5 (A:)
Disk 3,5 (A:)
Свойства: Диск 3,5 (A:)
Properties: Disk 3,5 (A:)
Если одно из таких окон найдено, вредоносная программа производит поиск файлов с расширением .doc на диске «A:». В случае присутствия подобных файлов производится их замещение телом троянца с сохранением оригинального имени файла и заменой расширения на .exe
Действия данного трояна приводят к потере содержимого пользовательских текстовых документов.
Другие названия
Backdoor.Win32.Delf.pf («Лаборатория Касперского») также известен как: Backdoor.Delf.pf («Лаборатория Касперского»), Backdoor.Trojan (Symantec), BKDR_DELF.PF (Trend Micro), Win32:Trojan-gen. (ALWIL), BackDoor.Delf.13.AT (Grisoft), Trojan Horse (Panda), NewHeur_PE (Eset)
От классики до авангарда — наука во всех жанрах