Virus Reporter - троянският свят на Warcraft и Wowpa
Троянецът Wowpa може да причини вреда и досада на феновете на World of Warcraft, докато се опитва да получи паролите за тази игра.
A Уаупа Основната цел на троянския контур е да сканира поверителната информация на феновете на World of Warcraft. Съответно, той прави промени в системата, които й позволяват да регистрира натискания на клавиши. Троянският код се активира, когато заглавната лента на прозореца, който се отваря, съдържа текста „World of Warcraft“ или процесът wow.exe стартира в заразената система.
В допълнение към поверителните данни от World of Warcraft, троянецът Wowpa усърдно събира системна информация, която може да включва:
- IP адрес и име на хост,
- име на сървъра за игри,
- различна информация, свързана с играта.
Троянецът може също да изтегля допълнителни злонамерени файлове през Интернет.
Когато троянецът Wowpa стартира, той извършва следните действия:
- Създайте следните файлове:
% System% \ Launcher.exe
% System% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Помощ \ MSpass.exe
% System% \ mywow.dll
% System% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Помощ \ MShook.dll - Следните записи се добавят към базата данни за регистрация:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= "% System% \ Launcher.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"% System% \ Server.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
„RUNDLL32.EXE% Windows% \ BhoPlugin.dll, Инсталиране“
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
„RUNDLL32.EXE C: \ WINDOWS \ system32 \ WinHel.dll, Инсталиране“ - Променете следните стойности в системния регистър:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
"% Windows% \ help \ MSpass.exe"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ObjectName = “LocalSystem”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Описание = "mos"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ DisplayName = “MS Massacre”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 „Root \ LEGACY_MSMASSACRE \ 0000“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Той се опитва да получи информация за потребителя за World of Warcraft. За целта той постоянно наблюдава активността на потребителите и наблюдава всички прозорци, които имат лента със заглавие „World of Warcraft“ или принадлежат към процеса wow.exe.
- Влезте натискания на клавиши.
- Събира системна информация.
- Той изтегля злонамерен файл от интернет и след това го записва, както следва:
% Temp% \ wowupdate.exe