Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является библиотекой Windows DLL. Упакована при помощи UPX. Размер файла — 13312 байт. Размер в распакованном виде — около 36 КБ.
Инсталляция
Троянец инсталлируется в систему при помощи другой вредоносной программы.
Для автоматической загрузки при следующем старте Windows, троянская программа добавляет ссылку на свой файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MService"="rundll32.exe \"<путь до троянского файла>\",Startup"
Деструктивная активность
Троянец создает ключ реестра, в котором хранит свои настройки:
[HKCU\Software\MService]
После чего открывает следующую ссылку:
66.**.9.246/SA/mmc.php
И получает по ней данные, которые далее записывает в файлы:
%System%\serviced.dat
%System%\serviceh.dat
Другие названия
Trojan-Downloader.Win32.Wintrim.cu («Лаборатория Касперского») также известен как: Downloader-DA.dll (McAfee), Trojan.DownLoader.4735 (Doctor Web), TROJ_DLOADER.BTN (Trend Micro), TR/Dldr.Wintrim.CU (H+BEDV), Downloader.Generic.GXB (Grisoft), Trojan.Downloader.Wintrim.CU (SOFTWIN), Adware/NaviPromo (Panda), Win32/TrojanDownloader.Wintrim.CU (Eset)
Разбираем кейсы, делимся опытом, учимся на чужих ошибках