Trojan-Spy.Win32. Dks.12.a

Троянская программа - клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 12 288 байт. Упакована при помощи ASPack, размер распакованного файла — около 20 КБ.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe:

  %System%\systemks.exe
  

После чего регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "systemks"="systemks.exe"

Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (8704 байта):

%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:

  %System%\ks000log.txt