Security Lab

Trojan-Dropper. Win32.Small.fp

Trojan-Dropper. Win32.Small.fp

Троянец, который устанавливает на компьютер и запускает на исполнение другие вредоносные программы без ведома пользователя.

Троянец, который устанавливает на компьютер и запускает на исполнение другие вредоносные программы без ведома пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 48640 байт. Написан на C++.

Деструктивная активность

При инсталляции вирус извлекает из своего тела следующие файлы и запускает их на исполнение:

* %System%\scchost.exe — детектируется антивирусом Касперского как Trojan-Spy.Win32.Tofger.ak, имеет размер 10240 байт;

* %System%\scchostс.exe — детектируется антивирусом Касперского как Troyan-Proxy.Win32.Daemonize.p, имеет размер 30000 байт;

* %WinDir%\msrt32.dll — детектируется антивирусом Касперского как Trojan-Spy.Win32.Tofger.gen.

Также троянец создает ключ реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Systems" = "%System%\scchost.exe"

Далее производятся изменения значений следующих параметров ключей системного реестра:

  [HKCU\Software\Microsoft\Internet Explorer\Main]
  "Use FormSuggest" = "no"
  "FormSuggest Passwords" = "no"
  "FormSuggest PW Ask" = "no"
  

Другие названия

Trojan-Dropper.Win32.Small.fp («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.fp («Лаборатория Касперского»), MultiDropper-GP.a (McAfee), Trojan.Mercurycas.A (Symantec), Trojan.MulDrop.710 (Doctor Web), TROJ_MERCURY.A (Trend Micro), Dropper.Small.4.AP (Grisoft), Trojan.Dropper.Small.FC (ClamAV), Trj/Multidropper.AL (Panda), Win32/TrojanDropper.Small.FP (Eset)

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!