Trojan-PSW.Win32. WOW.a

Троянская программа, предназначенная для кражи конфиденциальной информации пользователя.

Троянская программа, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 37 до 79 КБ. Написана на Visual Basic.

Инсталляция

При запуске троянец создает несколько копий своего исполняемого файла:

%Program Files%\Common Files\inexplore.pif
%Program Files%\Internet Explorer\inexplore.com
%System%\command.pif
%System%\dxdiag.com
%System%\msconfig.com
%System%\regedit.com
%System%\rund1132.com
%WinDir%\1.com
%WinDir%\EXP1ORER.com
%WinDir%\finders.com
%WinDir%\smss.exe
%WinDir%\Debug\DebugProgram.exe

Также троянец копирует свой исполняемый файл в корень диска D:

 

D:\command.com
D:\pagefile.pif

Там же создается файл автозапуска «autorun.inf», который при открытии диска в «Проводнике» Windows запускает исполняемый файл троянской программы:

D:\autorun.inf

Троянец изменяет следующие ключи реестра с целью автоматического запуска своих копий:

 

[HKCR\Applications\iexplore.exe\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" %1"

[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
""%Program Files%\Internet Explorer\inexplore.com""

[HKCR\Drive\shell\find\command]
"%WinDir%\EXP10RER.com"

[HKCR\ftp\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" %1"

[HKCR\htmlfile\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" -nohome"

[HKCR\htmlfile\shell\opennew\command]
""%Program Files%\common~1\inexplore.pif" %1"

[HKCR\HTTP\shell\open\command]
""%Program Files%\common~1\inexplore.pif" -nohome"

[HKCR\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"

[HKLM\Software\Clients\StartMenuInternet]
"inexplore.pif"

[HKLM\Software\Clients\StartMenuInternet\inexplore.pif]

А также добавляет себя в значение автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TProgram" = "%WinDir%\smss.exe"

Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.

Деструктивная активность

Троянец представляет собой программу, похищающую пароли к популярным online-играм:

    * World of Warcraft
    * Legend of Mir

Программа перехватывает информацию об учетных записях при открытии пользователем следующих страниц:

http://us.logon.worldofwarcraft.com
http://eu.logon.worldofwarcraft.com

Также троянец пытается завершить процессы, имена которых содержат подстроки:

VMON.EXE
TROJDIE
KPOP
ENTER
SSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA

Троянец пытается прочитать информацию из следующих файлов (если таковые присутствуют на компьютере жертвы):

data\woool88.dat
data\woool88.dat.update
data\woool.dat
data\woool.dat.update
data\game.ini
config.ini
realmlist.wtf
mir.ini
mirsetup.ini
update.ini

Собранную информацию троянец отсылает злоумышленнику через HTTP:

http://new.***soft.com.cn/upd/wow.htm?crc=