Троянская программа. Программа является приложением Windows (PE EXE-файл). Имеет размер 23040 байт. Написана на С++.
Инсталляция
Если троянец был запущен с именем отличным от "rs32net.exe", то он копирует свое тело в системный каталог Windows под именем "rs32net.exe": %System%\rs32net.exe
Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "rs32net" = "%System%\rs32net.exe"
После чего оригинальное тело троянца удаляется.
В противном случае, троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
После запуска троянец запускает системный процесс: %System%\svchost.exe
И внедряет свой вредоносный код в его адресное пространство.
Данный код детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.absw и пытается получить файлы для загрузки с сервера злоумышленника: http://195.2.253.***
