Trojan-Dropper.Win32.Small.if

Программа, скрытно устанавливающая другие программы. Упакована при помощи UPX, и имеет размер около 5 КБ, однако данный размер сильно зависит от объема устанавливаемых программ.

Trojan-Dropper.Win32.Small.if («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.if («Лаборатория Касперского»), MultiDropper-GP.d (McAfee), Trojan.MulDrop.883 (Doctor Web), TROJ_SMALL.IF (Trend Micro), Dropper.Small.5.BE (Grisoft)

Программа, скрытно устанавливающая другие программы. Упакована при помощи UPX, и имеет размер около 5 КБ, однако данный размер сильно зависит от объема устанавливаемых программ.

В самом начале свой работы сканирует список активных процессов и убивает в памяти svchost.exe. После этого ждет 3 секунды и сохраняет устанавливаемую программу в %WINDIR%\svchost.exe. В данном случае, это один из вариантов Trojan-Clicker.Win32.Small.

Для ее автозагрузки создает ключ реестра:

 
 [SOFTWARE\Microsoft\Windows\
 CurrentVersion\Run]
  "Wandows Deafult Configuration"="%WINDIR%\
 svchost.exe"

После этого, запускает установленную программу.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.