Trojan-Dropper.Win32.Small.if

Trojan-Dropper.Win32.Small.if («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.if («Лаборатория Касперского»), MultiDropper-GP.d (McAfee), Trojan.MulDrop.883 (Doctor Web), TROJ_SMALL.IF (Trend Micro), Dropper.Small.5.BE (Grisoft)

Программа, скрытно устанавливающая другие программы. Упакована при помощи UPX, и имеет размер около 5 КБ, однако данный размер сильно зависит от объема устанавливаемых программ.

В самом начале свой работы сканирует список активных процессов и убивает в памяти svchost.exe. После этого ждет 3 секунды и сохраняет устанавливаемую программу в %WINDIR%\svchost.exe. В данном случае, это один из вариантов Trojan-Clicker.Win32.Small.

Для ее автозагрузки создает ключ реестра:

  
  [SOFTWARE\Microsoft\Windows\
  CurrentVersion\Run]
   "Wandows Deafult Configuration"="%WINDIR%\
  svchost.exe"

После этого, запускает установленную программу.