Trojan.Win32. Inject.jgf

Троянская программа. Программа является приложением Windows (PE EXE-файл).

Троянская программа. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Написана на С++.

Инсталляция

Если троянец был запущен с именем отличным от "rs32net.exe", то он копирует свое тело в системный каталог Windows под именем "rs32net.exe":

%System%\rs32net.exe

Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "%System%\rs32net.exe"

После чего оригинальное тело троянца удаляется.

В противном случае, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "<путь_к_оригинальному_телу_троянца>"

Деструктивная активность

После запуска троянец запускает системный процесс:

%System%\svchost.exe

И внедряет свой вредоносный код в его адресное пространство.

Данный код детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.absw и пытается получить файлы для загрузки с сервера злоумышленника:

http://195.2.253.***