Troj/Delf-HA kontaktira web stranicu: "www.vlasof1.narod.ru" sa koje prima informacije o spam porukama koje će slati u datoteci sms.txt, zatim slučajnim odabirom generira niz telefonskih brojeva Ruskih operatera mobilnih mreža sa prefiksom +7921 ili +7911.

Virus koristi "send e-mail" funkciju, prisutnu na mnogim Ruskim web stranama operatera mobilnih mreža.

Iako slučajnim odabirom virus pogađa i brojeve mobilnih telefona koji još nisu dodjeljeni korisnicima, ta metoda se pokazuje dostatno efikasnom i za pogađanje veće količine postojećih aktivnih brojeva.

Delf-HA za sada cilja samo na Ruske mobilne mreže, ali stručnjaci upozoravaju da bi se slične metode mogle primjeniti i na pretplatnike u mnogim drugim zemljama.

Virus dolazi u obliku samo-raspakiravajuće UPX datoteke inst.exe, što se može promijeniti u bilo koje drugo ime. Kada se pokrene, virus kreira datoteku rundm.exe u Windows system direktoriju (<SYSTEM>\Rundnm.exe).

Da bi se mogao pokrenuti zajedno sa Windowsima dropper datoteka kreira slijedeće registry stavke:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RUNDNM

Više informacija:

http://www.sophos.com/virusinfo/analyses/trojdelfha.html