Security Lab

Trojan-PSW.Win32. OnLineGames.sxa

Trojan-PSW.Win32. OnLineGames.sxa

Троянская программа. Является приложением Windows (PE-EXE файл).

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 118103 байта.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\kavo.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"kava" = "%System%\kavo.exe"

Извлекает из тела своего исполняемого файла следующий файл:

%System%\kavo0.dll

Данный файл имеет размер 114176 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.szc.

Извлекает из тела своего исполняемого файла следующий файл:

%Temp%\<набор случайных символов>.dll

Данный файл имеет размер 29815 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.stcw.

Деструктивная активность

Троянец подгружает извлеченную библиотеку во все запущенные в системе процессы.

Перехватывает нажатия клавиш клавиатуры и мыши, если запущены следующие процессы:

maplestory.exe

dekaron.exe

gc.exe

RagFree.exe

Ragexe.exe

ybclient.exe

wsm.exe

sro_client.exe

so3d.exe

ge.exe

elementclient.exe

Анализирует траффик идущий к следующим адресам:

61.220.60.***

61.220.62.***

61.220.56.***

61.220.62.***

203.69.46.***

220.130.113.***

Таким способом троянец пытается похитить информацию об учетных записях игроков следующих игр:

ZhengTu

Wanmi Shijie or Perfect World

Dekaron Siwan Mojie

HuangYi Online

Rexue Jianghu

ROHAN

Seal Online

Maple Story

R2 (Reign of Revolution)

Talesweaver

и некоторых других. Также троянец анализирует файлы настроек вышеупомянутых игр и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.

Собранные данные отправляются на сайт злоумышленника.

Также троянец изменяет значения следующих параметров ключей системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden" = "2"

"ShowSuperHidden" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]

"NoDriveTypeAutoRun" = "0x91"

Пытается завершить следующие процессы:

KAV

RAV

AVP

KAVSVC

Также троянец обладает функционалом червя, распространяющегося при помощи сменных носителей. Троянец копирует свой исполняемый файл в корень каждого раздела:

:\n6j.com

где, X – буква раздела.

Также вместе со своим исполняемым файлом троянец помещает в корень диска сопровождающий файл:

:\autorun.inf

который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!