Троянская программа - клавиатурный шпион. Является приложением Windows (PE EXE-файл).
Инсталляция
После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe:
%System%\systemks.exe
После чего регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"systemks"="systemks.exe"
Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.
Также троянец создает в системном каталоге Windows файл с именем systemks.dll (8704 байта):
%System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.
Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».
Деструктивная активность
Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\ks000log.txt