Троянская программа. Является библиотекой Windows DLL.
Инсталляция
Инсталляция программы происходит при регистрации троянского DLL-файла, при этом троянец регистрирует себя в системе как Browser Helper Object. При этом создаются следующие ключи реестра:
[HKCR\NaviHelper.NaviHelperObject.1]
[HKCR\NaviHelper.NaviHelperObject]
[HKCR\CLSID\{DE614603-6320-4046-A7A7-6A69CEC26F14}]
[HKCR\TypeLib\{CA72BD3D-6044-4429-8C9A-76D90F4B29A8}]
Деструктивная активность
Троянец создает Class Moniker для класса с глобальным идентификатором
{4A6FA2EB-F381-4503-87D0-BE4CC57DEB8E}
для вызова методов этого класса при некоторых событиях веб-браузера.
Так же перехватывает вызовы методов некоторых других объектов Browser Helper Object и подменяет возвращаемые значения.
При отмене регистрации библиотеки удаляет параметр в ключе реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{DE614603-6320-4046-A7A7-6A69CEC26F14}]
Удаляет все файлы, попадающие под маску «4b_*.dll», которые находятся в рабочей папке с троянцем.
Другие названия
Trojan-Downloader.Win32.Wintrim.u («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Wintrim.u («Лаборатория Касперского»), Trojan.DownLoader.181 (Doctor Web), Troj/Magicon-B (Sophos), TrojanDownloader:Win32/Wintrim.U (RAV), TROJ_WINTRIM.U (Trend Micro), TR/Dldr.Wintrim.U.2 (H+BEDV), Win32:Wintrim-004B (ALWIL), Downloader.Wintrim.AC (Grisoft), Trojan.Downloader.Wintrim-15 (ClamAV), Dialer.EO (Panda)
Спойлер: она начинается с подписки на наш канал