Trojan-Dropper.Win32.Checkin

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Dropper

Предназначены для скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в их теле. Эти вредоносные программы обычно без каких-либо сообщений (или с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог windows, системный каталог windows, временный каталог и т.д.) другие файлы и запускают их на выполнение. Данные программы хакеры используют: • для скрытой инсталляции троянских программ и/или вирусов; • для защиты от детектирования известных вредоносных программ антивирусами, поскольку не все они в состоянии проверить все компоненты внутри подобных «троянцев».

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Троянский конь, который скачивает с определенного сайта заданный файл и запускает его на выполнение. Троянец является Windows-исполнимым PE EXE-файлом, Написан на MS Visual C++.

Размер троянца:

"Checkin.a": 50Kb
"Checkin.b": 45Kb

Троянец не копирует себя в систему, но создает ключ в реестре для запуска при старте системы:

"Checkin.a":

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
SysReg = %SystemDir%SysReg

"Checkin.b":

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
OWMngr = %SystemDir%OWMngr.exe

Троянец также создаёт свои собственные ключи реестра:

HKCUSoftwareIExplore
Ads
AID
ID
LoggedIn

Затем троянец остается в памяти Windows как активный процесс (процесс виден в списке задач), скачивает с определенного сайта файл, записывает его на диск под именем:

"Checkin.a": update.exe
"Checkin.a": updates.exe

и затем запускает на выполнение. Имя web-сайта и скачиваемого файла может меняться, троянец считывает эти имена с сайта:

"Checkin.a": http://tp.searchseekfind.com
"Checkin.b": http://ads.onwebmedia.com

используя скрипт "Checkin.pl" на указанном сайте.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com