Trojan-Dropper.Win32.Small.ig

Trojan-Dropper.Win32.Small.ig («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.ig («Лаборатория Касперского»), Trojan dropper (Symantec), Trojan.MulDrop.1141 (Doctor Web), TROJ_SMALL.IG (Trend Micro), Dropper.Small.5.AW (Grisoft)

Основной файл программы является приложением Windows (PE EXE-файл), имеет размер от 6 КБ и более. Упакован FSG. Размер распакованного файла около 25 КБ.

После запуска троянец копирует себя в системный каталог Windows с именем winupd.exe:

  
  %System%\winupd.exe
  

Затем регистрирует этот файл в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\
  CurrentVersion\Run]
   "winupd"="%System%\winupd.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец изменяет настройки браузера Internet Explorer и добавляет свои ссылки в меню «Избранное».

После чего оригинальный запускаемый файл удаляется.

Существуют варианты данного троянца, которые внутри своего кода хранят другие файлы. В случае запуска троянца эти файлы скрытно устанавливаются в систему, в каталог %Program Files% и запускаются на исполнение.