Trojan-Dropper.Win32. Small.bc

Троянская программа создана для скрытной установки в систему других троянских программ. Основной файл является приложением Windows (PE EXE-файл), имеет размер 24064 байта. Упакован UPX. Размер распакованного файла — около 60 КБ.

Деструктивная активность

После запуска троянская программа копирует себя в системный каталог Windows с именем nstask32.exe:

%System%\nstask32.exe

После чего регистрирует себя в ключах автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce]
   "NDplDeamon"="nstask32.exe"
  
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Shell="Explorer.exe nstask32.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также при запуске троянец скрытно устанавливает в системный каталог Windows файл с именем win32sockdrv.dll:

%System%\win32sockdrv.dll

Созданный файл детектируется Антивирусом Касперского как Backdoor.Win32.SdBot.at.

Затем данный файл запускается на исполнение.

Также троянец создает следующий файл в системе:

%System%\dllcache\tftp.exe

После чего оригинальный запускаемый файл удаляется.

Другие названия

Trojan-Dropper.Win32.Small.bc («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.bc («Лаборатория Касперского»), W32/Spybot.worm.md (McAfee), W32.Randex.E (Symantec), Win32.HLLW.LoveSan.based (Doctor Web), W32/RpcSdbot-A (Sophos), Win32/HLLW.SpyBot (RAV), WORM_RANDEX.R (Trend Micro), Dropper.Small.DC (Grisoft), Trojan.Dropper.Small.BC (SOFTWIN), Exploit.DCOM.Gen (ClamAV), Trj/W32.Small.BC (Panda), Win32/IRC.SdBot.AV.dropper (Eset)