Троянец, который устанавливает на компьютер и запускает на исполнение другие вредоносные программы без ведома пользователя.
Деструктивная активность
При инсталляции вирус извлекает из своего тела следующие файлы и запускает их на исполнение:
* %System%\scchost.exe — детектируется антивирусом Касперского как Trojan-Spy.Win32.Tofger.ak, имеет размер 10240 байт;
* %System%\scchostс.exe — детектируется антивирусом Касперского как Troyan-Proxy.Win32.Daemonize.p, имеет размер 30000 байт;
* %WinDir%\msrt32.dll — детектируется антивирусом Касперского как Trojan-Spy.Win32.Tofger.gen.
Также троянец создает ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Systems" = "%System%\scchost.exe"
Далее производятся изменения значений следующих параметров ключей системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Use FormSuggest" = "no" "FormSuggest Passwords" = "no" "FormSuggest PW Ask" = "no"
Другие названия
Trojan-Dropper.Win32.Small.fp («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.fp («Лаборатория Касперского»), MultiDropper-GP.a (McAfee), Trojan.Mercurycas.A (Symantec), Trojan.MulDrop.710 (Doctor Web), TROJ_MERCURY.A (Trend Micro), Dropper.Small.4.AP (Grisoft), Trojan.Dropper.Small.FC (ClamAV), Trj/Multidropper.AL (Panda), Win32/TrojanDropper.Small.FP (Eset)
Разбираем кейсы, делимся опытом, учимся на чужих ошибках