Security Lab

Trojan-Dropper.Win32. Small.auy

Trojan-Dropper.Win32. Small.auy

Троянец, который устанавливает другие программы на компьютер без ведома пользователя.

Троянец, который устанавливает другие программы на компьютер без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 150016 байт. Написан на Delphi.

Деструктивная активность

После запуска троянец создает в своей рабочей папке файл с именем "KSInstall.log" (размер 220 байт).

Также в системном каталоге Windows генерируется следующий файл:

* %System%\Keysaver.dll — имеет размер 72192 байта, детектируется Антивирусом Касперского как Trojan-Spy.Win32.KeyLogger.lb

Троянец создает ключи реестра:

  [HKCR\CLSID\{000000A0-0000-0000-0000-000000000011}]
  "File" = "%System%\Key.log"
  "maxfs" = dword:000f4240
  
  [HKCR\CLSID\{000000A0-0000-0000-0000-000000000011}\InprocServer32]
  @ = "%System%\Keysaver.dll"
  
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
  "Keysaver" = "{000000A0-0000-0000-0000-000000000011}"

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!