Trojan-PSW.Win32. WOW.agq

Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 123551 байт.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\amvo.exe

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"amva" = "%System%\amvo.exe"

Извлекает из тела своего исполняемого файла следующий файл:

%System%\amvo0.dll

Данный файл имеет размер 45421 байт и детектируется Антивирусом Касперского как Trojan-PSW.Win32.WOW.agq.

Извлекает из тела своего исполняемого файла следующий файл:

%Temp%\<набор случайных символов>.dll

Данный файл имеет размер 31887 байт и детектируется Антивирусом Касперского как Rootkit.Win32.Agent.sa.

Деструктивная активность

Троянец подгружает извлеченную библиотеку во все запущенные в системе процессы.

Перехватывает нажатия клавиш клавиатуры и мыши, если запущены следующие процессы:

maplestory.exe
wow.exe

Анализирует траффик идущий к следующим адресам:

216.107.***.53
216.107.***.51
216.107.***.52

Таким способом троянец пытается похитить информацию об учетных записях игроков следующих игр:

Maple Story
World of Warcraft

и некоторых других. Также троянец анализирует файлы настроек вышеупомянутых игр и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.

Собранные данные отправляются на сайт злоумышленника в HTTP запросе:

http://game*****.com/y2y3/mtt/lin.asp

Также троянец изменяет значения следующих параметров ключей системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0" 

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"ShowSuperHidden" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"

Пытается завершить следующие процессы:

KAV
RAV
AVP
KAVSVC

Также троянец обладает функционалом червя, распространяющегося при помощи сменных носителей. Троянец копирует свой исполняемый файл в корень каждого раздела:

:\n1deiect.com

где, X – буква раздела. Также вместе со своим исполняемым файлом троянец помещает в корень диска сопровождающий файл: :\autorun.inf который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".