Trojan-Spy.Win32. Dks.13.a

Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 6656 байт. Упакован при помощи UPX. Размер распакованного файла — около 27 КБ.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:

%System%\SYSTEMKS.EXE

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (5120 байт):

%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (3072 байта):

%System%\sysadks.dll

И прописывает себя в системном реестре:

  [HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32]
   "default"="sysadks.dll"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
   "sysadks"="<произвольный сгенерированный номер>"
  

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:

%System%\kslog.dat

Другие названия

Trojan-Spy.Win32.Dks.13.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.13.a («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Troj/DKS13-A (Sophos), TrojanSpy:Win32/Dks.13.A (RAV), TROJ_DKS.A (Trend Micro), TR/DKS.13.a (H+BEDV), Trojan.Spy.DKS.1.3.A (SOFTWIN), Trojan Horse.LC (Panda), Win32/Spy.Dks.13.A (Eset)