Trojan-Spy.Win32.Dks.12.c

Другие названия:
Trojan-Spy.Win32.Dks.12.c («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.12.c («Лаборатория Касперского»), Trojan Horse (Symantec), Trojan.Dks.12 (Doctor Web), Troj/DKS12-C (Sophos), TrojanSpy:Win32/DKS.1_2.C (RAV), TROJ_DKS.C (Trend Micro), TR/DKSSpy.11.B.2 (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Dks.1.2 (SOFTWIN), Trojan Horse.AP (Panda), Win32/Spy.DKS.12.C (Eset)

Технические детали:
Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 14336 байт.

Инсталляция:
После запуска троянец копирует себя в системный каталог Windows с именем systemks.exe:

       %System%\systemks.exe
  

После чего регистрирует себя в ключе автозапуска системного реестра:

       [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
       "systemks"="systemks.exe"
  

Т.е. при каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (9728 байт):

       %System%\systemks.dll
  

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.
Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность:
Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:

       %System%\kslog.txt