Win32/Delsha [Threat Name] go to Threat

Win32/Delsha.NAB [Threat Variant Name]

Category trojan
Size 21633 B
Detection created Jun 26, 2015
Detection database version 11850
Aliases Trojan.ShareAll.2 (Dr.Web)
  Dhupad.EUK (AVG)
Short description

The trojan has a simple payload. The trojan disables shared network resources.


The trojan does not create any copies of itself.

In order to be executed on every system start, the trojan sets the following Registry entry:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "secure"="%malwarefilepath%"
Other information

The trojan disables shared network resources.

The trojan executes the following commands:

  • cmd.exe /C net share /delete C$ /y
  • cmd.exe /C net share /delete D$ /y
  • cmd.exe /C net share /delete E$ /y
  • cmd.exe /C net share /delete F$ /y
  • cmd.exe /C net share /delete G$ /y
  • cmd.exe /C net share /delete H$ /y
  • cmd.exe /C net share /delete I$ /y
  • cmd.exe /C net share /delete J$ /y
  • cmd.exe /C net share /delete K$ /y
  • cmd.exe /C net share /delete L$ /y
  • cmd.exe /C net share /delete M$ /y
  • cmd.exe /C net share /delete N$ /y
  • cmd.exe /C net share /delete O$ /y
  • cmd.exe /C net share /delete P$ /y
  • cmd.exe /C net share /delete Q$ /y
  • cmd.exe /C net share /delete R$ /y
  • cmd.exe /C net share /delete T$ /y
  • cmd.exe /C net share /delete U$ /y
  • cmd.exe /C net share /delete V$ /y
  • cmd.exe /C net share /delete W$ /y
  • cmd.exe /C net share /delete X$ /y
  • cmd.exe /C net share /delete Y$ /y
  • cmd.exe /C net share /delete Z$ /y
  • cmd.exe /C net share /delete IPC$ /y
  • cmd.exe /C net share /delete ADMIN$ /y
  • cmd.exe /C net stop server /y
  • cmd.exe /C net stop telnet /y
  • cmd.exe /C net stop netbios /y

The following services are disabled:

  • server
  • telnet
  • netbios

Please enable Javascript to ensure correct displaying of this content and refresh this page.