Троянская программа. Является библиотекой Windows DLL. Имеет размер 6656 байт.
Инсталляция
Инсталляция программы происходит при регистрации OLE-объекта из библиотеки. При этом создаются следующие ключи реестра:
[HKCU\Software\EGDHTML]
[HKCR\CLSID\{093F9CF8-0DE1-491C-95D5-5EC257BD4CA3}]
Деструктивная активность
Троянец устанавливает перехватчик на оконные сообщения, который выполняет следующие действия:
* перехватывает сообщение WM_CLOSE.
Если имя класса у окна получателя одно из следующих:
o IEFrame
o CabinetWClass
заменяет сообщение WM_CLOSE передаваемое окну на сообщение WM_ACTIVATE.
* перехватывает сообщения WM_NCLBUTTONDOWN и WM_NCRBUTTONDOWN, если параметр wParam для этих сообщений равен HTCLOSE, а имена классов окон, которым было послано это сообщение равны одному из следующих:
o AOL Child
o AOL Frame25
сообщение передаваемое окну заменяется на сообщение WM_LBUTTONDOWN.
Также троянец запускает процесс:
regedit.exe /s %WinDir%\tmlpcert2005
Другие названия
Trojan-Downloader.Win32.Wintrim.ah («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Wintrim.ah («Лаборатория Касперского»), Trojan.Wintrim (Doctor Web), TrojanDownloader:Win32/Wintrim.AH (RAV), TROJ_WINTRIM.AH (Trend Micro), TR/Downldr.Wintr.AH (H+BEDV), Win32:Wintrim-014 (ALWIL), Downloader.Wintrim.AW (Grisoft), Trojan.Downloader.Wintrim.AH (SOFTWIN), Trojan.Downloader.Wintrim.AH (ClamAV), Dialer.FN (Panda), Win32/TrojanDownloader.Wintrim.AH (Eset)
Но доступ к знаниям открыт для всех