Security Lab

Trojan-Downloader Win32.Wintrim.u

Trojan-Downloader Win32.Wintrim.u

Троянская программа. Является библиотекой Windows DLL.

Троянская программа. Является библиотекой Windows DLL. Имеет размер 11264 байта. Написана на С++.

Инсталляция

Инсталляция программы происходит при регистрации троянского DLL-файла, при этом троянец регистрирует себя в системе как Browser Helper Object. При этом создаются следующие ключи реестра:

[HKCR\NaviHelper.NaviHelperObject.1]
[HKCR\NaviHelper.NaviHelperObject]
[HKCR\CLSID\{DE614603-6320-4046-A7A7-6A69CEC26F14}]
[HKCR\TypeLib\{CA72BD3D-6044-4429-8C9A-76D90F4B29A8}]

Деструктивная активность

Троянец создает Class Moniker для класса с глобальным идентификатором

{4A6FA2EB-F381-4503-87D0-BE4CC57DEB8E}

для вызова методов этого класса при некоторых событиях веб-браузера.

Так же перехватывает вызовы методов некоторых других объектов Browser Helper Object и подменяет возвращаемые значения.

При отмене регистрации библиотеки удаляет параметр в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{DE614603-6320-4046-A7A7-6A69CEC26F14}]

Удаляет все файлы, попадающие под маску «4b_*.dll», которые находятся в рабочей папке с троянцем.

Другие названия

Trojan-Downloader.Win32.Wintrim.u («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Wintrim.u («Лаборатория Касперского»), Trojan.DownLoader.181 (Doctor Web), Troj/Magicon-B (Sophos), TrojanDownloader:Win32/Wintrim.U (RAV), TROJ_WINTRIM.U (Trend Micro), TR/Dldr.Wintrim.U.2 (H+BEDV), Win32:Wintrim-004B (ALWIL), Downloader.Wintrim.AC (Grisoft), Trojan.Downloader.Wintrim-15 (ClamAV), Dialer.EO (Panda)

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!