Trojan-PSW.Win32. WOW.el

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах WOW.

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах WOW. Является приложением Windows (PE EXE-файл). Написана на Delphi. Размер файла троянца — 136069 байт. Упакован с помощью NsPack, распакованный размер — около 316 КБ.

Инсталляция

После запуска троянец создает в корне диска С:\ DLL-библиотеку с именем:

c:\nxldr.dat

После чего загружает и вызывает из нее функцию "start".

При загрузке библиотека копирует свой исполняемый файл в системную папку Windows с именем:

%System32%\KB896425.log

Для автоматического запуска при каждом старте Windows троянец создает службу с именем NetWork Logon:

[HKLM\System\CurrentControlSet\Services\NetWorkLogon]

Деструктивная активность

При загрузке библиотека получает список процессов и загружает себя в адресное пространство к случайно выбранному процессу из списка, а так же к процессам с именами:

EXPLORER.EXE
IEXPLORE.EXE

для которых библиотека устанавливает перехватчик функции send из библиотеки WS2_32.dll, с помощью которого следит за HTTP запросами пользователя. Для запросов POST содержащих в URL следующую строку:

/vk/unblock_deal.php

троянец получает значения следующих параметров:

account=
pin=

если в URL встречается строка /dologin.php, троянец получает значения следующих параметров:

loginname=
&password=

для процесса с именем WOW.EXE троянская программа получает значения полей ввода в диалогах, а так же делает скриншоты некоторых диалогов.

Собранную информацию троянец отправляет на сайт злоумышленника.

Так же троянец удаляет из URL-кеша браузера все ссылки, содержащие строку «the9.com».