26.01.2007
Trojan-Downloader.Win32.Delf.nz
Троянский загрузчик, написан на Delphi, размер 15 кб, не сжат и не зашифрован, URL загрузки находится в теле программы открытым текстом. В случае запуска скрытно выполняет следующие действия:
1. Пытается запустить браузер с параметрами: c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.terra.com.br. Полный путь к IEXPLORE.EXE жестко задан в программе, что делает ее неработоспособной в русскоязычной и англоязычной Windows.
2. Загружает исполняемый файл с сайта http://www.dezineline.com и сохраняет под именем c:\winlogon.scr (полное имя исполняемого файла задано в теле программы)
3. В случае ошибки шаг 2 повторяется, в случае успешной загрузки производится запуск загруженной программы
На момент исследования заданный в теле трояна URL был неработоспособным.