Trojan-Dropper.Win32. Small.bc
Троянская программа создана для скрытной установки в систему других троянских программ.
Деструктивная активность
После запуска троянская программа копирует себя в системный каталог Windows с именем nstask32.exe:
%System%\nstask32.exe
После чего регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce] "NDplDeamon"="nstask32.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell="Explorer.exe nstask32.exe"
При каждой следующей загрузке Windows автоматически запустит файл троянца.
Также при запуске троянец скрытно устанавливает в системный каталог Windows файл с именем win32sockdrv.dll:
%System%\win32sockdrv.dll
Созданный файл детектируется Антивирусом Касперского как Backdoor.Win32.SdBot.at.
Затем данный файл запускается на исполнение.
Также троянец создает следующий файл в системе:
%System%\dllcache\tftp.exe
После чего оригинальный запускаемый файл удаляется.
Другие названия
Trojan-Dropper.Win32.Small.bc («Лаборатория Касперского») также известен как: TrojanDropper.Win32.Small.bc («Лаборатория Касперского»), W32/Spybot.worm.md (McAfee), W32.Randex.E (Symantec), Win32.HLLW.LoveSan.based (Doctor Web), W32/RpcSdbot-A (Sophos), Win32/HLLW.SpyBot (RAV), WORM_RANDEX.R (Trend Micro), Dropper.Small.DC (Grisoft), Trojan.Dropper.Small.BC (SOFTWIN), Exploit.DCOM.Gen (ClamAV), Trj/W32.Small.BC (Panda), Win32/IRC.SdBot.AV.dropper (Eset)
Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!