Trojan-Spy.Win32. Dks.131.a

Троянская программа - клавиатурный шпион. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Размер файла — 6144 байта. Упакован при помощи UPX. Размер распакованного файла — около 31 КБ.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:

%System%\SYSTEMKS.EXE

Также троянец создает в системном каталоге Windows файл с именем systemks.dll (11776 байт):

%System%\systemks.dll

Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.

Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (4096 байт):

%System%\sysadks.dll

И прописывает себя в системном реестре:

  [HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32]
   "default"="sysadks.dll"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
   "sysadks"="<произвольный сгенерированный номер>"
  

Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».

Деструктивная активность

Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:

%System%\kslog.dat

Другие названия

Trojan-Spy.Win32.Dks.131.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.131.a («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Trojan.Dks.131 (Doctor Web), Troj/DKS-131 (Sophos), TrojanSpy:Win32/Dks.131.A (RAV), TROJ_DKS131.A (Trend Micro), TR/DKS.Spy.131.C.3 (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.DKS.1.3.1.A (SOFTWIN), Trojan.DKS.131.a (ClamAV), Trojan Horse (Panda), Win32/Spy.Dks.131.A (Eset)