Trojan-PSW.Win32. WOW.a

Троянская программа, предназначенная для кражи конфиденциальной информации пользователя.

Троянская программа, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 37 до 79 КБ. Написана на Visual Basic.

Инсталляция

При запуске троянец создает несколько копий своего исполняемого файла:

 %Program Files%\Common Files\inexplore.pif
 %Program Files%\Internet Explorer\inexplore.com
 %System%\command.pif
 %System%\dxdiag.com
 %System%\msconfig.com
 %System%\regedit.com
 %System%\rund1132.com
 %WinDir%\1.com
 %WinDir%\EXP1ORER.com
 %WinDir%\finders.com
 %WinDir%\smss.exe
 %WinDir%\Debug\DebugProgram.exe
 

Также троянец копирует свой исполняемый файл в корень диска D:

 

D:\command.com
D:\pagefile.pif

Там же создается файл автозапуска «autorun.inf», который при открытии диска в «Проводнике» Windows запускает исполняемый файл троянской программы:

 D:\autorun.inf

Троянец изменяет следующие ключи реестра с целью автоматического запуска своих копий:

 

[HKCR\Applications\iexplore.exe\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" %1"

[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
""%Program Files%\Internet Explorer\inexplore.com""

[HKCR\Drive\shell\find\command]
"%WinDir%\EXP10RER.com"

[HKCR\ftp\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" %1"

[HKCR\htmlfile\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" -nohome"

[HKCR\htmlfile\shell\opennew\command]
""%Program Files%\common~1\inexplore.pif" %1"

[HKCR\HTTP\shell\open\command]
""%Program Files%\common~1\inexplore.pif" -nohome"

[HKCR\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"

[HKLM\Software\Clients\StartMenuInternet]
"inexplore.pif"

[HKLM\Software\Clients\StartMenuInternet\inexplore.pif]

А также добавляет себя в значение автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "TProgram" = "%WinDir%\smss.exe"
 

Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.

Деструктивная активность

Троянец представляет собой программу, похищающую пароли к популярным online-играм:

     * World of Warcraft
     * Legend of Mir
 

Программа перехватывает информацию об учетных записях при открытии пользователем следующих страниц:

http://us.logon.worldofwarcraft.com
http://eu.logon.worldofwarcraft.com

Также троянец пытается завершить процессы, имена которых содержат подстроки:

 VMON.EXE
 TROJDIE
 KPOP
 ENTER
 SSISTSE
 KPFW
 AGENTSVR
 KV
 KREG
 IEFIND
 IPARMOR
 SVI.EXE
 UPHC
 RULEWIZE
 FYGT
 RFWSRV
 RFWMA

Троянец пытается прочитать информацию из следующих файлов (если таковые присутствуют на компьютере жертвы):

data\woool88.dat
data\woool88.dat.update
data\woool.dat
data\woool.dat.update
data\game.ini
config.ini
realmlist.wtf
mir.ini
mirsetup.ini
update.ini

Собранную информацию троянец отсылает злоумышленнику через HTTP:

http://new.***soft.com.cn/upd/wow.htm?crc=
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.