Trojan-Downloader. Win32.Wintrim.ah

Троянская программа. Является библиотекой Windows DLL. Имеет размер 6656 байт. Упакована с помощью UPX. Распакованный размер — около 28 КБ. Написана на С++.

Инсталляция

Инсталляция программы происходит при регистрации OLE-объекта из библиотеки. При этом создаются следующие ключи реестра:

[HKCU\Software\EGDHTML]
[HKCR\CLSID\{093F9CF8-0DE1-491C-95D5-5EC257BD4CA3}]

Деструктивная активность

Троянец устанавливает перехватчик на оконные сообщения, который выполняет следующие действия:

* перехватывает сообщение WM_CLOSE.

Если имя класса у окна получателя одно из следующих:

          o IEFrame
          o CabinetWClass

заменяет сообщение WM_CLOSE передаваемое окну на сообщение WM_ACTIVATE.

* перехватывает сообщения WM_NCLBUTTONDOWN и WM_NCRBUTTONDOWN, если параметр wParam для этих сообщений равен HTCLOSE, а имена классов окон, которым было послано это сообщение равны одному из следующих:

          o AOL Child
          o AOL Frame25

сообщение передаваемое окну заменяется на сообщение WM_LBUTTONDOWN.

Также троянец запускает процесс:

regedit.exe /s %WinDir%\tmlpcert2005

Другие названия

Trojan-Downloader.Win32.Wintrim.ah («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Wintrim.ah («Лаборатория Касперского»), Trojan.Wintrim (Doctor Web), TrojanDownloader:Win32/Wintrim.AH (RAV), TROJ_WINTRIM.AH (Trend Micro), TR/Downldr.Wintr.AH (H+BEDV), Win32:Wintrim-014 (ALWIL), Downloader.Wintrim.AW (Grisoft), Trojan.Downloader.Wintrim.AH (SOFTWIN), Trojan.Downloader.Wintrim.AH (ClamAV), Dialer.FN (Panda), Win32/TrojanDownloader.Wintrim.AH (Eset)