Trojan-Spy.Win32. Iespy.od

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 7205 байт. Упакована FSG. Распакованный размер — около 40 КБ. Написана на C++.

Деструктивная активность

Данный троянец используется для установки BHO объекта.

При запуске троянец извлекает из своего тела библиотеку и сохраняет ее в системном каталоге Windows под следующим именем:

%System%\mswapi.dll

Данный файл имеет размер 7680 байт и детектируется Антивирусом Касперского как Trojan-Spy.Win32.Iespy.sl

Созданная библиотека регистрируется троянцем как Browser Helper Object. При этом создаются соответствующие ключи системного реестра:

[HKCR\CLSID\{e3a729da-eabc-df50-1842-dfd682644311}\InprocServer32]
"(Default)" = "%System%\mswapi.dll"
"ThreadingModel" = "Apartment"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{e3a729da-eabc-df50-1842-dfd682644311}]

После чего троянец создает во временном каталоге текущего пользователя Windows файл командного интерпретатора, запускает его и завершает свою работу — данный файл удаляет оригинальный файл троянца и самоуничтожается.