Троянская программа. Программа является приложением Windows (PE EXE-файл).
Инсталляция
Если троянец был запущен с именем отличным от "rs32net.exe", то он копирует свое тело в системный каталог Windows под именем "rs32net.exe":
%System%\rs32net.exe
Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "%System%\rs32net.exe"
После чего оригинальное тело троянца удаляется.
В противном случае, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"rs32net" = "<путь_к_оригинальному_телу_троянца>"
Деструктивная активность
После запуска троянец запускает системный процесс:
%System%\svchost.exe
И внедряет свой вредоносный код в его адресное пространство.
Данный код детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.absw и пытается получить файлы для загрузки с сервера злоумышленника:
http://195.2.253.***