Вредоносная программа, относящаяся к семейству троянцев, похищающих пароли пользователя.
Инсталляция
При запуске троянец копирует свой исполняемый файл под различными именами в корневой и системный каталоги Windows:
%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe
Троянец изменяет значения ключей реестра на следующие:
[HKCR\.bfc\ShellNew]
"Command" = "%System%\rundll32.com
%System%\syncui.dll,Briefcase_Create %2!d! %1"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"
[HKCR\cplfile\shell\cplopen\command]
@ = "rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
[HKCR\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
[HKCR\Drive\shell\find\command]
@ = "%WinDir%\explorer.com"
[HKCR\ftp\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com\" %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@ = "%Program Files%\Internet Explorer\iexplore.com"
[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"
[HKCR\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"
[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\Common Files\iexplore.pif -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"
[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKCR\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"
[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\common~1\iexplore.pif -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"
[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"
[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = "%WinDir%\WINLOGON.EXE"
[HKCR\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"
[HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"
[HKCR\scriptletfile\Shell\Generate Typelib\command]
@ = "%System%\finder.com %System%\scrobj.dll,GenerateTypeLib %1"
[HKCR\telnet\shell\open\command]
@ = "finder.com url.dll,TelnetProtocolHandler %l"
Таким образом, троянская программа будет запускаться каждый раз при попытке открытия пользователем файлов некоторых типов, запуске различных приложений, открытии логических дисков при помощи «Проводника» Windows, вызове интернет-ярлыков или веб-ссылок.
Деструктивная активность
В случае если на зараженном компьютере запущена онлайн-игра «World of Warcraft», троянец определяет, откуда был запущен процесс «wow.exe», и считывает содержимое следующих файлов в рабочей папке игрового клиента:
realmlist.wtf
update.ini
Также троянец следит за клавиатурным вводом пользователя на следующих интернет-страницах:
eu.logon.worldofwarcraft.com
tw.logon.worldofwarcraft.com
us.logon.worldofwarcraft.com
Троянец ищет в системе процесс с именем «woool.exe», определяет, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы:
\data\woool.dat
\data\game.ini
\data\*.update
update.lib.scf
\data\WOOOL88.DAT
\data\WOOOLe88.DAT
Собранную информацию троян отсылает на сайт злоумышленника.
Также троянская программа завершает процессы, которые содержат в своих именах следующие строки:
RAVMON
TROJDIE
KPOP
CCENTER
ASSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA
TROJAN
MMSK