Троянская программа - клавиатурный шпион.
Инсталляция
После запуска троянец копирует себя в системный каталог Windows с именем SYSTEMKS.EXE:
%System%\SYSTEMKS.EXE
Также троянец создает в системном каталоге Windows файл с именем systemks.dll (11776 байт):
%System%\systemks.dll
Данный файл используется для перехвата сообщений от клавиатуры и записи их в файл журнала.
Также троянец создает в системном каталоге Windows файл с именем sysadks.dll (4096 байт):
%System%\sysadks.dll
И прописывает себя в системном реестре:
[HKCR\CLSID\<произвольный сгенерированный номер>\InProcServer32] "default"="sysadks.dll" [HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "sysadks"="<произвольный сгенерированный номер>"
Также троянец отслеживает свой повторный запуск при помощи поиска окна с заголовком «systemks».
Деструктивная активность
Троянец перехватывает сообщения от клавиатуры, определяет «язык ввода», следит за операциями над окнами, после чего записывает собранную информацию в следующий файл:
%System%\kslog.dat
Другие названия
Trojan-Spy.Win32.Dks.131.a («Лаборатория Касперского») также известен как: TrojanSpy.Win32.DKS.131.a («Лаборатория Касперского»), Keylog-Dks (McAfee), Keylogger.Trojan (Symantec), Trojan.Dks.131 (Doctor Web), Troj/DKS-131 (Sophos), TrojanSpy:Win32/Dks.131.A (RAV), TROJ_DKS131.A (Trend Micro), TR/DKS.Spy.131.C.3 (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Spy.DKS.1.3.1.A (SOFTWIN), Trojan.DKS.131.a (ClamAV), Trojan Horse (Panda), Win32/Spy.Dks.131.A (Eset)
И мы тоже не спим, чтобы держать вас в курсе всех угроз