Security Lab

Trojan-PSW.Win32. OnLineGames.a

Trojan-PSW.Win32. OnLineGames.a

Вредоносная программа, относящаяся к семейству троянцев, похищающих пароли пользователя.

Вредоносная программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 52738 байт. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл под различными именами в корневой и системный каталоги Windows:

%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe

Троянец изменяет значения ключей реестра на следующие:

[HKCR\.bfc\ShellNew]
"Command" = "%System%\rundll32.com
%System%\syncui.dll,Briefcase_Create %2!d! %1"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"

[HKCR\cplfile\shell\cplopen\command]
@ = "rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

[HKCR\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

[HKCR\Drive\shell\find\command]
@ = "%WinDir%\explorer.com"

[HKCR\ftp\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com\" %1"

[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@ = "%Program Files%\Internet Explorer\iexplore.com"

[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"

[HKCR\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"

[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\Common Files\iexplore.pif -nohome"

[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"

[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKCR\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"

[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"

[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"

[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\common~1\iexplore.pif -nohome"

[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"

[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"

[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"

[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = "%WinDir%\WINLOGON.EXE"

[HKCR\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"

[HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"

[HKCR\scriptletfile\Shell\Generate Typelib\command]
@ = "%System%\finder.com %System%\scrobj.dll,GenerateTypeLib %1"

[HKCR\telnet\shell\open\command]
@ = "finder.com url.dll,TelnetProtocolHandler %l"

Таким образом, троянская программа будет запускаться каждый раз при попытке открытия пользователем файлов некоторых типов, запуске различных приложений, открытии логических дисков при помощи «Проводника» Windows, вызове интернет-ярлыков или веб-ссылок.

Деструктивная активность

В случае если на зараженном компьютере запущена онлайн-игра «World of Warcraft», троянец определяет, откуда был запущен процесс «wow.exe», и считывает содержимое следующих файлов в рабочей папке игрового клиента:

realmlist.wtf
update.ini

Также троянец следит за клавиатурным вводом пользователя на следующих интернет-страницах:

eu.logon.worldofwarcraft.com
tw.logon.worldofwarcraft.com
us.logon.worldofwarcraft.com

Троянец ищет в системе процесс с именем «woool.exe», определяет, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы:

\data\woool.dat
\data\game.ini
\data\*.update
update.lib.scf
\data\WOOOL88.DAT
\data\WOOOLe88.DAT

Собранную информацию троян отсылает на сайт злоумышленника.

Также троянская программа завершает процессы, которые содержат в своих именах следующие строки:

RAVMON
TROJDIE
KPOP
CCENTER
ASSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA
TROJAN
MMSK

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!