9 czerwca 2003

TrojanDownloader. Win32.Checkin - pobiera plik z internetu

Jest to koń trojański pobierający określony plik ze strony WWW i uruchamiający go. Ma postać pliku PE EXE o rozmiarze około 45 lub 50 KB (w zależności od wersji) i powstał przy użyciu środowiska programistycznego MS Visual C++.

Rozmiar robaka różni się w zależności od wersji:

  • "Checkin.a" - około 50 KB,
  • "Checkin.b" - około 45 KB.

Trojan nie kopiuje się do żadnego folderu lecz tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchamianie się wraz z każdym startem systemu operacyjnego:

"Checkin.a":

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SysReg = %Folder systemowy%\SysReg

"Checkin.b":

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
OWMngr = %Folder systemowy%\OWMngr.exe

Ponadto szkodnik tworzy dodatkowe klucze rejestru i wykorzystuje je do własnych celów:

HKCU\Software\IExplore\
Ads
AID
ID
LoggedIn

Trojan działa w pamięci jako proces (można go zidentyfikować na liście procesów), pobiera określony plik ze strony WWW, zapisuje go na dysku z nazwą "update.exe" i uruchamia.