Троянская программа, загружающая из интернета файлы без ведома пользователя
Деструктивная активность
При инсталляции троянец проверяет, запущен ли он из системного каталога Windows и имеет ли имя System33r.exe:
%System%\system33r.exe
Если да, - то программа извлекает из ресурсов тело файла, который затем сохраняется со следующим именем (размер — 5632 байта):
%System%\system33r.dll
Если троянец запущен из другого каталога, он копирует свое тело в каталог %System% под именем system33r.exe:
%System%\system33r.exe
...Запускает его и удаляет свой оригинальный файл файл.
Далее программа ищет в системе окно с классом «Shell_TrayWnd», получает идентификатор процесса, которому принадлежит это окно и записывает в его адресное пространство исполняемый код. Затем троянец устанавливает счетчик исполнения на выделенную область и передает в нее управление. В измененный процесс подгружается библиотека system33r.dll. С помощью этой библиотеки скачивается файл, адрес которого указан по смещению A36h в файле system33r.dll, и сохраняется в файл, имя которого указано по смещению A56h в том же файле.
Другие названия
Trojan-Downloader.Win32.Tiner.c («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Tiner.c («Лаборатория Касперского»), Download.Trojan (Symantec), Trojan.Konsl.3 (Doctor Web), TrojanDownloader:Win32/Tiner.C (RAV), TROJ_TINER.C (Trend Micro), Win32:Tiner-C1 (ALWIL), Downloader.Tiner.H (Grisoft), Trojan Horse (Panda), Win32/TrojanDownloader.Tiner.C (Eset)
В Матрице безопасности выбор очевиден