Trojan-Dropper.Win32.Checkin

Technical Details

Троянский конь, который скачивает с определенного сайта заданный файл и запускает его на выполнение. Троянец является Windows-исполнимым PE EXE-файлом, Написан на MS Visual C++.

Размер троянца:

«Checkin.a»: 50Kb
«Checkin.b»: 45Kb

Троянец не копирует себя в систему, но создает ключ в реестре для запуска при старте системы:

«Checkin.a»:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
SysReg = %SystemDir%SysReg

«Checkin.b»:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
OWMngr = %SystemDir%OWMngr.exe

Троянец также создаёт свои собственные ключи реестра:

HKCUSoftwareIExplore
Ads
AID
ID
LoggedIn

Затем троянец остается в памяти Windows как активный процесс (процесс виден в списке задач), скачивает с определенного сайта файл, записывает его на диск под именем:

«Checkin.a»: update.exe
«Checkin.a»: updates.exe

и затем запускает на выполнение. Имя web-сайта и скачиваемого файла может меняться, троянец считывает эти имена с сайта:

«Checkin.a»: http://tp.searchseekfind.com
«Checkin.b»: http://ads.onwebmedia.com

используя скрипт «Checkin.pl» на указанном сайте.