Trojan-GameThief.Win32. OnLineGames.vagi

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр.

Trojan-GameThief.Win32.OnLineGames.vagi

Время детектирования 21 май 2009 15:37 MSK
Время выпуска обновления 21 май 2009 19:14 MSK
Описание опубликовано 02 июл 2010 13:41 MSK

Экспертное описание Автоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE EXE-файл). Имеет размер 21728 байт. Упакована при помощи UPX. Распакованный размер – около 86 КБ. Написана на С++.


Деструктивная активность

При обнаружении значений параметров в следующих ключах реестра (таким образом троянец определяет наличие на компьютере пользователя антивирусных программ):

[HKLM\SOFTWARE\KasperskyLab\SetupFolders]
"KAV7" =



[HKLM\SOFTWARE\rising\Ris]
"name" =
выполняет следующие действия:
  • извлекает из своего тела файл с именем "systemd.sys" и устанавливает ему атрибуты "скрытый" и "системный":
    %System%\Drivers\systemd.sys
    Данный файл имеет размер 6656 байт и детектируется антивирусом Касперского как Rootkit.Win32.Small.acs.

    Для запуска на исполнение извлеченного файла создает службу с именем "aaaa":

    aaaa
    При этом в ключе реестра создаются следующие записи:
    [HKLM\SYSTEM\CurrentControlSet\Services\aaaa]
    "DisplayName" = "aaaa"
    "ErrorControl" = "1"
    "ImagePath" = "%System%\Drivers\systemd.sys"
    "Start" = "3"
    "Type" = "1"
  • Извлекает из своего тела и запускает на исполнение файл с именем "test.exe":
    %Temp%\test.exe
    Данный файл имеет размер 29920 байт и детектируется антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.vzya.
  • Перемещает свое оригинальное тело во временный каталог текущего пользователя Windows под именем "DNFupdate.exe":
    %Temp%\DNFupdate.exe
После этого завершает свое выполнение.

Если же троянец не обнаружил ключей реестра, соответствующих антивирусным программам, тогда он выполняет следующие действия:\

  • Извлекает из своего тела библиотеку во временный каталог текущего пользователя Windows и устанавливает ей атрибуты "скрытый" и "системный":
    %Temp%\SysDir.dat
    Данный файл имеет размер 21728 байт и детектируется антивирусом Касперского как Trojan-PSW.Win32.QQPass.idz.
  • Подгружает извлеченную библиотеку в свое адресное пространство и вызывает из нее функции с именами:
    VVVV
    YYYY
  • Получает путь к распространенной в Китае программе мгновенного обмена сообщениями "Tencent QQ", прочитав значение параметра следующего ключа реестра:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tencent\DNF]
    "Path" =
  • В полученном каталоге создает копию своего тела с именем "DNFupdate.exe":
    <каталог полученный из реестра>\start\DNFupdate.exe
  • Копирует системную библиотеку:
    %System%\LPK.dll
    в файл с именем "DnfText.dll":
    <каталог полученный из реестра>\start\DnfText.dll
  • В этот же каталог вредонос извлекает файл с именем "LPK.dll": <каталог полученный из реестра>\start\LPK.dll

Данный файл имеет размер 2560 байт и предназначен для запуска копии тела троянца с именем "DNFupdate.exe":

<каталог полученный из реестра>\start\DNFupdate.exe
В завершение троянец перемещает свое оригинальное тело во временный каталог текущего пользователя Windows с именем "DNFupdate.exe":
%Temp%\DNFupdate.exe