Троянская программа. Является приложением Windows (PE EXE-файл).
Инсталляция
После запуска троянец копирует свой исполняемый файл в корневой каталог Windows:
%WinDir%\Winrep.exe
Для автоматического запуска при каждом последующем старте ОС троянец добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"Run"="%WinDir%\Winrep.exe"
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%WinDir%\Winrep.exe"
Также создает параметр в ключе реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility]
"COSTARO"="10.05.2007"
Троянец создает пустой файл:
%WinDir%\winrep.log
Другие названия
Trojan.Win32.Costaro («Лаборатория Касперского») также известен как: Costaro (McAfee), Trojan Horse (Symantec), Troj/Costaro (Sophos), Trojan:Win32/Costaro (RAV), TROJ_COSTARO.A (Trend Micro), TR/Costaro (H+BEDV), Win32:Trojan-gen. (ALWIL), Trojan.Costaro.A (SOFTWIN), Trojan.Costaro (ClamAV), Trojan Horse (Panda), Win32/Costaro (Eset)
В Матрице безопасности выбор очевиден