Reportér vírusov - World of Warcraft a Wowpa Trojan
Wowpa Trójsky kôň môže fanúšikom World of Warcraft spôsobiť ujmu a obťažovanie pri pokuse o získanie hesiel pre túto hru.
A Wow Hlavným cieľom Trojana je špehovať dôverné údaje fanúšikov World of Warcraft. V súlade s tým vykonáva zmeny v systéme, ktoré mu umožňujú zaznamenávať stlačenia klávesov. Trójsky kôň sa aktivuje, keď sa v adresnom riadku okna, ktoré sa otvorí, objaví text „World of Warcraft“ alebo keď sa na infikovanom systéme spustí proces wow.exe.
Okrem dôverných údajov z World of Warcraft trójsky kôň Wowpa usilovne zhromažďuje aj systémové informácie, ktoré môžu zahŕňať:
- IP adresa a názov hostiteľa,
- názov herného servera,
- rôzne informácie súvisiace s hrou.
Trojan môže tiež sťahovať ďalšie škodlivé súbory cez internet.
Keď sa trójsky kôň Wowpa spustí, vykoná nasledujúce akcie:
- Vytvorte nasledujúce súbory:
% System% \ Launcher.exe
% System% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Help \ MSpass.exe
% System% \ mywow.dll
% System% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Help \ MShook.dll - Do registračnej databázy sa pridávajú tieto položky:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= "%System%\Launcher.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"%System%\Server.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
“RUNDLL32.EXE %Windows%\BhoPlugin.dll,Inštalovať”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
“RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll,Inštalovať” - Upravte nasledujúce hodnoty v registri:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
"%Windows%\help\MSpass.exe"
HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = “LocalSystem”
HKLM\System\CurrentControlSet\Services\MSmassacre\Description = „mos“
HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = „MS Massacre“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 „Root\LEGACY_MSMASSACRE\0000“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Pokus o získanie používateľských informácií pre hru World of Warcraft. K tomu neustále monitoruje aktivitu používateľa a sleduje, či sa v ňom neobjaví akékoľvek okno, ktoré má názov „World of Warcraft“ alebo patrí do procesu wow.exe.
- Záznamy klávesov.
- Zhromažďuje systémové informácie.
- Stiahne škodlivý súbor z internetu a potom ho uloží nasledovne:
% Temp% \ wowupdate.exe