Троянская программа. Является библиотекой Windows DLL.
Инсталляция
Инсталляция программы происходит при регистрации OLE-объекта из библиотеки. При этом создаются следующие ключи реестра:
[HKCU\Software\EGDHTML]
[HKCR\CLSID\{093F9CF8-0DE1-491C-95D5-5EC257BD4CA3}]
Деструктивная активность
Троянец устанавливает перехватчик на оконные сообщения, который выполняет следующие действия:
* перехватывает сообщение WM_CLOSE.
Если имя класса у окна получателя одно из следующих:
IEFrame CabinetWClass
заменяет сообщение WM_CLOSE передаваемое окну на сообщение WM_ACTIVATE
* перехватывает сообщения WM_NCLBUTTONDOWN и WM_NCRBUTTONDOWN, если параметр wParam для этих сообщений равен HTCLOSE, а имена классов окон, которым было послано это сообщение равны одному из следующих:
AOL Child AOL Frame25
сообщение передаваемое окну заменяется на сообщение WM_LBUTTONDOWN.
Также троянец запускает процесс:
regedit.exe /s %WinDir%\tmlpcert2005
Другие названия
Trojan-Downloader.Win32.Wintrim.ai («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Wintrim.ai («Лаборатория Касперского»), PWSteal.Trojan (Symantec), Dialer.Child (Doctor Web), Troj/Wintrim-AI (Sophos), TrojanDownloader:Win32/Wintrim.AI (RAV), TROJ_WINTRIM.AI (Trend Micro), TR/Dldr.Wintrim.AI (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Wintrim.AU (Grisoft), Trojan.Downloader.Wintrim.AI (SOFTWIN), Trojan.Downloader.Wintrim-5 (ClamAV), Dialer.B (Panda), Win32/TrojanDownloader.Wintrim.AI (Eset)
Но доступ к знаниям открыт для всех