Trojan-Spy.Win32. Dks.10

Троянская программа - клавиатурный шпион. Является приложением Windows (PE-EXE файл). Написана на Visual C++. Размер файла — около 12 КБ. Упакована при помощи ASPack, размер распакованного файла – около 20 КБ.

Деструктивная активность

После запуска троянец копирует себя в системный каталог Windows с именем "ks001.exe":

%System%\ks001.exe

После чего регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"systemks" = "ks001.exe"

т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в системном каталоге Windows файл с именем "ks001.dll":

%System%\ks001.dll (8 704 байта)

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Другие названия

Trojan-Spy.Win32.Dks.10 («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.10 («Лаборатория Касперского»), Keylog-Dks (McAfee), Backdoor.Trojan (Symantec), Trojan.Dks.10 (Doctor Web), Troj/DKS-10 (Sophos), TrojanSpy:Win32/Dks.1_0 (RAV), Win32:Trojan-gen. (ALWIL), Win32/Spy.Dks.10 (Eset)