Trojan-Downloader Win32.Wintrim.w

Троянская программа. Является библиотекой Windows DLL. Имеет размер 8704 байта. Упакована с помощью UPX. Распакованный размер — около 36 КБ. Написана на С++.

Инсталляция

Инсталляция программы происходит при регистрации OLE-объекта из библиотеки. При этом создается следующий ключ реестра:

[HKCR\CLSID\{486E48B5-ABF2-42BB-A327-2679DF3FB822}]

Деструктивная активность

Троянец устанавливает перехватчик на оконные сообщения для программ, который выполняет следующие действия:

    * перехватывает сообщение WM_CLOSE.

      Если имя класса у окна получателя одно из следующих:
      IEFrame
      CabinetWClass
      заменяет сообщение WM_CLOSE передаваемое окну на сообщение WM_ACTIVATE.
    * перехватывает сообщения WM_NCLBUTTONDOWN и WM_NCRBUTTONDOWN если параметр 
  wParam для этих сообщений равен HTCLOSE, а имена классов окон, которым было послано 
это сообщение равны одному из следующих:
      AOL Child
      AOL Frame25
      сообщение передаваемое окну заменяется на сообщение WM_LBUTTONDOWN.

Также троянец создает файл:

%WinDir%\tmlpcert2005

который является файлом настроек системного реестра, в результате добавления этих настроек в системный реестр будет создан ключ:

[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\
  BD8400524261DF1ADBD8860F22C9CE2B97471448]

Далее троянец запускает процесс:

regedit.exe /s %WinDir%\tmlpcert2005

Другие названия

Trojan-Downloader.Win32.Wintrim.w («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Wintrim.w («Лаборатория Касперского»), Trojan.Wintrim (Doctor Web), Troj/Wintrim-A (Sophos), TrojanDownloader:Win32/Wintrim.W (RAV), TROJ_WINTRIM.W (Trend Micro), TR/Wintrim.W (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Wintrim.AD (Grisoft), Trojan.Downloader.Wintrim.W (SOFTWIN), Trojan.Downloader.Wintrim-6 (ClamAV), Dialer.B (Panda), Win32/TrojanDownloader.Wintrim.W (Eset)