Trojan-Downloader. Win32.Wintrim.ai

Троянская программа. Является библиотекой Windows DLL. Имеет размер 8704 байта. Упакована с помощью UPX. Распакованный размер — около 36 КБ. Написана на С++.

Инсталляция

Инсталляция программы происходит при регистрации OLE-объекта из библиотеки. При этом создаются следующие ключи реестра:

[HKCU\Software\EGDHTML]
[HKCR\CLSID\{093F9CF8-0DE1-491C-95D5-5EC257BD4CA3}]

Деструктивная активность

Троянец устанавливает перехватчик на оконные сообщения, который выполняет следующие действия:

* перехватывает сообщение WM_CLOSE.

Если имя класса у окна получателя одно из следующих:

        IEFrame
        CabinetWClass

заменяет сообщение WM_CLOSE передаваемое окну на сообщение WM_ACTIVATE

* перехватывает сообщения WM_NCLBUTTONDOWN и WM_NCRBUTTONDOWN, если параметр wParam для этих сообщений равен HTCLOSE, а имена классов окон, которым было послано это сообщение равны одному из следующих:

        AOL Child
        AOL Frame25
  

сообщение передаваемое окну заменяется на сообщение WM_LBUTTONDOWN.

Также троянец запускает процесс:

regedit.exe /s %WinDir%\tmlpcert2005

Другие названия

Trojan-Downloader.Win32.Wintrim.ai («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Wintrim.ai («Лаборатория Касперского»), PWSteal.Trojan (Symantec), Dialer.Child (Doctor Web), Troj/Wintrim-AI (Sophos), TrojanDownloader:Win32/Wintrim.AI (RAV), TROJ_WINTRIM.AI (Trend Micro), TR/Dldr.Wintrim.AI (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Wintrim.AU (Grisoft), Trojan.Downloader.Wintrim.AI (SOFTWIN), Trojan.Downloader.Wintrim-5 (ClamAV), Dialer.B (Panda), Win32/TrojanDownloader.Wintrim.AI (Eset)