Trojan-PSW.Win32. OnLineGames.sxa

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 118103 байта.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\kavo.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"kava" = "%System%\kavo.exe"

Извлекает из тела своего исполняемого файла следующий файл:

%System%\kavo0.dll

Данный файл имеет размер 114176 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.szc.

Извлекает из тела своего исполняемого файла следующий файл:

%Temp%\<набор случайных символов>.dll

Данный файл имеет размер 29815 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.stcw.

Деструктивная активность

Троянец подгружает извлеченную библиотеку во все запущенные в системе процессы.

Перехватывает нажатия клавиш клавиатуры и мыши, если запущены следующие процессы:

maplestory.exe

dekaron.exe

gc.exe

RagFree.exe

Ragexe.exe

ybclient.exe

wsm.exe

sro_client.exe

so3d.exe

ge.exe

elementclient.exe

Анализирует траффик идущий к следующим адресам:

61.220.60.***

61.220.62.***

61.220.56.***

61.220.62.***

203.69.46.***

220.130.113.***

Таким способом троянец пытается похитить информацию об учетных записях игроков следующих игр:

ZhengTu

Wanmi Shijie or Perfect World

Dekaron Siwan Mojie

HuangYi Online

Rexue Jianghu

ROHAN

Seal Online

Maple Story

R2 (Reign of Revolution)

Talesweaver

и некоторых других. Также троянец анализирует файлы настроек вышеупомянутых игр и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.

Собранные данные отправляются на сайт злоумышленника.

Также троянец изменяет значения следующих параметров ключей системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden" = "2"

"ShowSuperHidden" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]

"NoDriveTypeAutoRun" = "0x91"

Пытается завершить следующие процессы:

KAV

RAV

AVP

KAVSVC

Также троянец обладает функционалом червя, распространяющегося при помощи сменных носителей. Троянец копирует свой исполняемый файл в корень каждого раздела:

:\n6j.com

где, X – буква раздела.

Также вместе со своим исполняемым файлом троянец помещает в корень диска сопровождающий файл:

:\autorun.inf

который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".