Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр.
Время детектирования | 21 май 2009 15:37 MSK |
Время выпуска обновления | 21 май 2009 19:14 MSK |
Описание опубликовано | 02 июл 2010 13:41 MSK |
Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE EXE-файл). Имеет размер 21728 байт. Упакована при помощи UPX. Распакованный размер – около 86 КБ. Написана на С++.
При обнаружении значений параметров в следующих ключах реестра (таким образом троянец определяет наличие на компьютере пользователя антивирусных программ):
[HKLM\SOFTWARE\KasperskyLab\SetupFolders]выполняет следующие действия:
"KAV7" =
[HKLM\SOFTWARE\rising\Ris]
"name" =
%System%\Drivers\systemd.sysДанный файл имеет размер 6656 байт и детектируется антивирусом Касперского как Rootkit.Win32.Small.acs.
Для запуска на исполнение извлеченного файла создает службу с именем "aaaa":
aaaaПри этом в ключе реестра создаются следующие записи:
[HKLM\SYSTEM\CurrentControlSet\Services\aaaa]
"DisplayName" = "aaaa"
"ErrorControl" = "1"
"ImagePath" = "%System%\Drivers\systemd.sys"
"Start" = "3"
"Type" = "1"
%Temp%\test.exeДанный файл имеет размер 29920 байт и детектируется антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.vzya.
%Temp%\DNFupdate.exe
Если же троянец не обнаружил ключей реестра, соответствующих антивирусным программам, тогда он выполняет следующие действия:\
%Temp%\SysDir.datДанный файл имеет размер 21728 байт и детектируется антивирусом Касперского как Trojan-PSW.Win32.QQPass.idz.
VVVV
YYYY
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tencent\DNF]
"Path" =
<каталог полученный из реестра>\start\DNFupdate.exe
%System%\LPK.dllв файл с именем "DnfText.dll":
<каталог полученный из реестра>\start\DnfText.dll
Данный файл имеет размер 2560 байт и предназначен для запуска копии тела троянца с именем "DNFupdate.exe":
<каталог полученный из реестра>\start\DNFupdate.exeВ завершение троянец перемещает свое оригинальное тело во временный каталог текущего пользователя Windows с именем "DNFupdate.exe":
%Temp%\DNFupdate.exe