Security Lab

Trojan-Spy.Win32. Dks.11.a

Trojan-Spy.Win32. Dks.11.a

Троянская программа — клавиатурный шпион. Является приложением Windows (PE-EXE файл). Написана на Visual C++. Размер файла — 12288 байт.

Троянская программа — клавиатурный шпион. Является приложением Windows (PE-EXE файл). Написана на Visual C++. Размер файла — 12288 байт. Упакована при помощи ASPack, размер распакованного файла — около 40 КБ.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем ks001.exe:

%System%\ks001.exe

После чего регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"systemks"="ks001.exe"

Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в системном каталоге Windows файл с именем ks001.dll (8704 байта):

%System%\ks001.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:

%System%\ks000log.txt

Другие названия

Trojan-Spy.Win32.Dks.11.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.11.a («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Trojan.Dks.11 (Doctor Web), Troj/KeySpy-DKS (Sophos), TrojanSpy:Win32/Dks.1_1 (RAV), TROJ_DKS.A (Trend Micro), TR/DKS.11.a (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.Dks.1.1 (SOFTWIN), Trojan Horse.LC (Panda), Win32/Spy.Dks.11 (Eset)

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!