Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл).
Деструктивная активность
После запуска троянец извлекает из своего тела файл, который сохраняется в системе под следующим именем:
%Temp%\~.~~~
(32768 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.Small.gzp") где
Далее троянец запускает системную утилиту "rundll32.exe" со следующими параметрами:
%Temp%\~.~~~ test <полный путь к оригинальному файлу троянца>
Таким образом, вызывается функция "test" из извлеченной ранее библиотеки. После этого троянец завершает свою работу.
Извлеченная троянцем библиотека "%Temp%\~
* файл библиотеки копируется в файлы:
%System%\csrss.dll %System%\rpcss.dll
* Удаляются файлы:
%System%\ServicePackFiles\i386\rpcss.dll %System%\dllcache\rpcss.dll
* Из тела библиотеки извлекаются файлы, сохраняемые в системе под следующими именами:
%System%\sh14034.ini (2880 байт) %System%\sh14034.dll
(20992 байта; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bksf")
* исполняемый код библиотеки "%System%\sh14034.dll" внедряется в адресное пространство процесса "explorer.exe".
* Функция "test" вызывается со строковым параметром, содержащим полный путь к оригинальному файлу троянца. Данный файл будет удален.