Se trata de un adware/downloader que descarga y ejecuta archivos sin conocimiento del usuario.

Existen dos variantes de este troyano que se instalan en la carpeta System de Windows. Cualquier intento de borrar directamente estos ejecutables es inútil, puesto que vuelven a aparecer, ya que son liberados por un dropper.

El DROPPER (literalmente "cuentagotas"), es cualquier archivo que cuando se ejecuta "gotea" o libera un virus o código malicioso. Por lo general, cuando un "dropper" es escaneado por un antivirus, no se detectará un virus, porque el código viral no ha sido creado todavía.

El dropper del Checkin es un archivo de 53,248 bytes, que puede tener cualquier nombre. Las primeras muestras reportadas por el fabricante F-Prot tienen el nombre de TTPS.EXE.

La variante A del troyano libera un archivo llamado "SysReg.exe", mientras que la B libera uno llamado "OWMngr.exe". Ambos se instalan generalmente en la carpeta System de Windows, y modifican el registro para autoejecutarse en cada reinicio de la computadora infectada: