Троянская программа. Является библиотекой Windows DLL.
Инсталляция
Инсталляция программы происходит при регистрации OLE-объекта из библиотеки. При этом создается следующий ключ реестра:
[HKCR\CLSID\{486E48B5-ABF2-42BB-A327-2679DF3FB822}]
Деструктивная активность
Троянец устанавливает перехватчик на оконные сообщения для программ, который выполняет следующие действия:
* перехватывает сообщение WM_CLOSE.
Если имя класса у окна получателя одно из следующих:
IEFrame
CabinetWClass
заменяет сообщение WM_CLOSE передаваемое окну на сообщение WM_ACTIVATE.
* перехватывает сообщения WM_NCLBUTTONDOWN и WM_NCRBUTTONDOWN если параметр
wParam для этих сообщений равен HTCLOSE, а имена классов окон, которым было послано
это сообщение равны одному из следующих:
AOL Child
AOL Frame25
сообщение передаваемое окну заменяется на сообщение WM_LBUTTONDOWN.
Также троянец создает файл:
%WinDir%\tmlpcert2005
который является файлом настроек системного реестра, в результате добавления этих настроек в системный реестр будет создан ключ:
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
BD8400524261DF1ADBD8860F22C9CE2B97471448]
Далее троянец запускает процесс:
regedit.exe /s %WinDir%\tmlpcert2005
Другие названия
Trojan-Downloader.Win32.Wintrim.w («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Wintrim.w («Лаборатория Касперского»), Trojan.Wintrim (Doctor Web), Troj/Wintrim-A (Sophos), TrojanDownloader:Win32/Wintrim.W (RAV), TROJ_WINTRIM.W (Trend Micro), TR/Wintrim.W (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Wintrim.AD (Grisoft), Trojan.Downloader.Wintrim.W (SOFTWIN), Trojan.Downloader.Wintrim-6 (ClamAV), Dialer.B (Panda), Win32/TrojanDownloader.Wintrim.W (Eset)
В Матрице безопасности выбор очевиден