Trojan-Spy. Win32.Small.r

Троянская программа — клавиатурный шпион. Является приложением Windows (PE EXE-файл). Имеет размер 12000 байт.

Деструктивная активность

Данный троянец предназначен для отправки на электронный адрес злоумышленника информации, вводимой пользователем зараженного компьютера с клавиатуры и содержимого буфера обмена. Функции перехвата импортируются из динамической библиотеки cmd32.dll. Похищаемую информацию троянец сохраняет в следующем файле:

%WinDir%\sdsini.ini

Также троянец создает следующие ключи в системном реестре:

[HKLM\Software\Microsoft\Fosrt]
[HKLM\Software\Microsoft\Upeir]

При подключении зараженного компьютера к интернету троянец отправляет всю похищенную информацию на электронный адрес злоумышленника: b***oks@yandex.ru.

Также троянец скачивает и запускает из интернета следующие файлы:

      * http://ass.rompl.net/***/file.php***mstasks1.exe сохраняется в %System%\
      mstasks1.exe
      * http://ass.rompl.net/***/file.php***mstasks2.exe сохраняется в %System%\
      mstasks2.exe
  

Троянец сохраняет данные, полученные от сервера, в результате обращения по адресу http://www.ip2location.com/***.asp в файл %System%\sastem.ing.

На момент создания описания данные ссылки не работали.

Другие названия

Trojan-Spy.Win32.Small.r («Лаборатория Касперского») также известен как: TrojanSpy.Win32.Small.r («Лаборатория Касперского»), Spy-Tofger.gen.a (McAfee), Download.Trojan (Symantec), Trojan.Tofger.12000 (Doctor Web), PWS:Win32/Small (RAV), TROJ_TOPGER.A (Trend Micro), Win32:Trojan-gen. (ALWIL), PSW.Small.B (Grisoft), Trj/Tofger.T (Panda), Win32/Spy.Small.R (Eset)