TrojanDownloader.Win32.Checkin

Jest to ko艅 troja艅ski pobieraj膮cy okre艣lony plik ze strony WWW i uruchamiaj膮cy go. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 45 lub 50 KB (w zale偶no艣ci od wersji) i powsta艂 przy u偶yciu 艣rodowiska programistycznego MS Visual C++.

Rozmiar robaka r贸偶ni si臋 w zale偶no艣ci od wersji:

  • Checkin.a - oko艂o 50 KB,
  • Checkin.b - oko艂o 45 KB.

Trojan nie kopiuje si臋 do 偶adnego folderu lecz tworzy w rejestrze systemowym klucz auto-run zapewniaj膮cy mu uruchamianie si臋 wraz z ka偶dym startem systemu operacyjnego:

  • Checkin.a:

    HKCUSoftwareMicrosoftWindowsCurrentVersionRun
    SysReg = %Folder systemowy%SysReg

  • Checkin.b:

    HKCUSoftwareMicrosoftWindowsCurrentVersionRun
    OWMngr = %Folder systemowy%OWMngr.exe

Ponadto szkodnik tworzy dodatkowe klucze rejestru i wykorzystuje je do w艂asnych cel贸w:

HKCUSoftwareIExplore
Ads
AID
ID
LoggedIn

Trojan dzia艂a w pami臋ci jako proces (mo偶na go zidentyfikowa膰 na li艣cie proces贸w), pobiera okre艣lony plik ze strony WWW, zapisuje go na dysku z nazw膮 update.exe i uruchamia.