Троянская программа, предназначенная для кражи конфиденциальной информации пользователя.
Инсталляция
При запуске троянец создает несколько копий своего исполняемого файла:
%Program Files%\Common Files\inexplore.pif %Program Files%\Internet Explorer\inexplore.com %System%\command.pif %System%\dxdiag.com %System%\msconfig.com %System%\regedit.com %System%\rund1132.com %WinDir%\1.com %WinDir%\EXP1ORER.com %WinDir%\finders.com %WinDir%\smss.exe %WinDir%\Debug\DebugProgram.exe
Также троянец копирует свой исполняемый файл в корень диска D:
D:\command.com
D:\pagefile.pif
Там же создается файл автозапуска «autorun.inf», который при открытии диска в «Проводнике» Windows запускает исполняемый файл троянской программы:
D:\autorun.inf
Троянец изменяет следующие ключи реестра с целью автоматического запуска своих копий:
[HKCR\Applications\iexplore.exe\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
""%Program Files%\Internet Explorer\inexplore.com""
[HKCR\Drive\shell\find\command]
"%WinDir%\EXP10RER.com"
[HKCR\ftp\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" %1"
[HKCR\htmlfile\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" -nohome"
[HKCR\htmlfile\shell\opennew\command]
""%Program Files%\common~1\inexplore.pif" %1"
[HKCR\HTTP\shell\open\command]
""%Program Files%\common~1\inexplore.pif" -nohome"
[HKCR\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"
[HKLM\Software\Clients\StartMenuInternet]
"inexplore.pif"
[HKLM\Software\Clients\StartMenuInternet\inexplore.pif]
А также добавляет себя в значение автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "TProgram" = "%WinDir%\smss.exe"
Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.
Деструктивная активность
Троянец представляет собой программу, похищающую пароли к популярным online-играм:
* World of Warcraft * Legend of Mir
Программа перехватывает информацию об учетных записях при открытии пользователем следующих страниц:
http://us.logon.worldofwarcraft.com
http://eu.logon.worldofwarcraft.com
Также троянец пытается завершить процессы, имена которых содержат подстроки:
VMON.EXE TROJDIE KPOP ENTER SSISTSE KPFW AGENTSVR KV KREG IEFIND IPARMOR SVI.EXE UPHC RULEWIZE FYGT RFWSRV RFWMA
Троянец пытается прочитать информацию из следующих файлов (если таковые присутствуют на компьютере жертвы):
data\woool88.dat
data\woool88.dat.update
data\woool.dat
data\woool.dat.update
data\game.ini
config.ini
realmlist.wtf
mir.ini
mirsetup.ini
update.ini
Собранную информацию троянец отсылает злоумышленнику через HTTP:
http://new.***soft.com.cn/upd/wow.htm?crc=