Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл).
Деструктивная активность
Данный троянец предназначен для отправки на электронный адрес злоумышленника информации, вводимой пользователем зараженного компьютера с клавиатуры и содержимого буфера обмена. Функции перехвата импортируются из динамической библиотеки cmd32.dll. Похищаемую информацию троянец сохраняет в следующем файле:
%WinDir%\sdsini.ini
Также троянец создает следующие ключи в системном реестре:
[HKLM\Software\Microsoft\Fosrt]
[HKLM\Software\Microsoft\Upeir]
При подключении зараженного компьютера к интернету троянец отправляет всю похищенную информацию на электронный адрес злоумышленника: b***oks@yandex.ru.
Также троянец скачивает и запускает из интернета следующие файлы:
* http://ass.rompl.net/***/file.php***mstasks1.exe сохраняется в %System%\
mstasks1.exe * http://ass.rompl.net/***/file.php***mstasks2.exe сохраняется в %System%\
mstasks2.exe
Троянец сохраняет данные, полученные от сервера, в результате обращения по адресу http://www.ip2location.com/***.asp в файл %System%\sastem.ing.
На момент создания описания данные ссылки не работали.
Другие названия
Trojan-Spy.Win32.Small.r («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Small.r («Лаборатория Касперского»), Spy-Tofger.gen.a (McAfee), Download.Trojan (Symantec), Trojan.Tofger.12000 (Doctor Web), PWS:Win32/Small (RAV), TROJ_TOPGER.A (Trend Micro), Win32:Trojan-gen. (ALWIL), PSW.Small.B (Grisoft), Trj/Tofger.T (Panda), Win32/Spy.Small.R (Eset)
Спойлер: мы раскрываем их любимые трюки