Trojan-Dropper.Win32.Checkin

Technical Details

Троянский конь, который скачивает с определенного сайта заданный файл и запускает его на выполнение. Троянец является Windows-исполнимым PE EXE-файлом, Написан на MS Visual C++.

Размер троянца:

“Checkin.a”: 50Kb
“Checkin.b”: 45Kb

Троянец не копирует себя в систему, но создает ключ в реестре для запуска при старте системы:

“Checkin.a”:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
SysReg = %SystemDir%SysReg

“Checkin.b”:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
OWMngr = %SystemDir%OWMngr.exe

Троянец также создаёт свои собственные ключи реестра:

HKCUSoftwareIExplore
Ads
AID
ID
LoggedIn

Затем троянец остается в памяти Windows как активный процесс (процесс виден в списке задач), скачивает с определенного сайта файл, записывает его на диск под именем:

“Checkin.a”: update.exe
“Checkin.a”: updates.exe

и затем запускает на выполнение. Имя web-сайта и скачиваемого файла может меняться, троянец считывает эти имена с сайта:

“Checkin.a”: http://tp.searchseekfind.com
“Checkin.b”: http://ads.onwebmedia.com

используя скрипт “Checkin.pl” на указанном сайте.