ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan-Dropper.Win32.Checkin

Clase Trojan-Dropper
Plataforma Win32
Descripción

Detalles técnicos

Checkin es un troyano "descargador" que descarga un archivo determinado de un sitio determinado y lo ejecuta. El troyano en sí es un archivo EXE de Windows PE, escrito en MS Visual C ++.

Los tamaños de archivo troyano son de los siguientes tamaños aproximados:
"Checkin.a": 50 KB
"Checkin.b": 45 KB

El archivo troyano EXE no se copia a sí mismo en ningún directorio, sino que crea una clave de ejecución automática del registro del sistema:

 "Checkin.a": 

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun
  SysReg =% SystemDir% SysReg

 "Checkin.b": 

 HKCUSoftwareMicrosoftWindowsCurrentVersionRun
  OWMngr =% SystemDir% OWMngr.exe

Parece que el programa troyano debe ser completado por un "instalador" que realiza todos los pasos para instalar el programa troyano en el sistema.

El programa troyano también crea más claves de registro:

 HKCUSoftwareIExplore Ads
   AYUDA
   CARNÉ DE IDENTIDAD
   Conectado

Utiliza estas claves para sus necesidades "internas".

Checkin se convierte en un proceso activo (este proceso es visible en la lista de tareas), descarga un archivo de un sitio web, lo almacena en el disco duro con el nombre update.exe y ejecuta este archivo.

El nombre del sitio web y la URL del archivo remoto pueden variar. El troyano Checkin descarga esta información de otro sitio web:

 
 "Checkin.a": http://tp.searchseekfind.com
 "Checkin.b": http://ads.onwebmedia.com
  

En estas ubicaciones, el troyano utiliza el archivo "Checkin.pl".


Enlace al original