Trojan-GameThief.Win32. OnLineGames.xesa

Ответить
Аватара пользователя
Raven
Бородатый сис
Бородатый сис
Сообщения: 2788
Зарегистрирован: 03 мар 2010, 15:12
ОС: RHEL 7
Откуда: Из серверной

Trojan-GameThief.Win32. OnLineGames.xesa

Сообщение Raven » 16 фев 2011, 10:28

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE DLL-файл). Имеет размер 36865 байт. Написана на C++.

Деструктивная активность

Троянская библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого библиотека внедряется в адресное пространство процесса "wow.exe", после чего в системе находится окно с именем класса "GxWindowClassD3d" и заголовком "World of Warcraft". Из данного окна похищается информация, вводимая пользователем при входе в on-line игру. Собранная информация передается в виде параметров на следующий URL:
  • http://w.per***exe.com:888/houmen/wow.asp
Библиотека экспортирует функцию с именем "AR", при вызове которой создается ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному
файлу троянца>,w"

Таким образом, при каждом следующем старте системы посредством системной утилиты "RUNDLL32.EXE" из троянской библиотеки будет вызываться функция с именем "w". При вызове экспортируемой функции "w" выполняются следующие действия:
  • тело троянца копируется в файл: msvcr70.dll
  • Значение подстроки "" считывается из ключа системного реестра:
    [HKLM\Software\Blizzard Entertainment\World of Warcraft]
    "GamePath"
  • В файл
    wow.exe
    дописывается секция ".ngaut", содержащая код для внедрения библиотеки "\msvcr70.dll" в адресное пространство данного процесса. При этом точка входа "wow.exe" изменяется и указывает на код в дописанной секции.
  • Устанавливается хук-процедура, позволяющая отслеживать сообщения в системной очереди.
  • Создается ключ системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному
    файлу троянца>,w"
Я не злопамятный, я просто часто ковыряю логи
Изображение
Ответить

Вернуться в «Живность»