Security Lab

Trojan-Downloader.Win32. Wintrim.cu

Trojan-Downloader.Win32. Wintrim.cu

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является библиотекой Windows DLL. Упакована при помощи UPX. Размер файла — 13312 байт. Размер в распакованном виде — около 36 КБ.

Инсталляция

Троянец инсталлируется в систему при помощи другой вредоносной программы.

Для автоматической загрузки при следующем старте Windows, троянская программа добавляет ссылку на свой файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"MService"="rundll32.exe \"<путь до троянского файла>\",Startup"

Деструктивная активность

Троянец создает ключ реестра, в котором хранит свои настройки:

[HKCU\Software\MService]

После чего открывает следующую ссылку:

66.**.9.246/SA/mmc.php

И получает по ней данные, которые далее записывает в файлы:

%System%\serviced.dat
%System%\serviceh.dat

Другие названия

Trojan-Downloader.Win32.Wintrim.cu («Лаборатория Касперского») также известен как: Downloader-DA.dll (McAfee), Trojan.DownLoader.4735 (Doctor Web), TROJ_DLOADER.BTN (Trend Micro), TR/Dldr.Wintrim.CU (H+BEDV), Downloader.Generic.GXB (Grisoft), Trojan.Downloader.Wintrim.CU (SOFTWIN), Adware/NaviPromo (Panda), Win32/TrojanDownloader.Wintrim.CU (Eset)

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!