Другие модификации: .a, .afd, .oz, .rlh
Технические детали
Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 118103 байта.
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%/kavo.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"kava" = "%System%/kavo.exe"
Извлекает из тела своего исполняемого файла следующий файл:
%System%/kavo0.dll
Данный файл имеет размер 114176 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.szc.
Извлекает из тела своего исполняемого файла следующий файл:
%Temp%/<набор случайных символов>.dll
Данный файл имеет размер 29815 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.stcw.
Деструктивная активность
Троянец подгружает извлеченную библиотеку во все запущенные в системе процессы.
Перехватывает нажатия клавиш клавиатуры и мыши, если запущены следующие процессы:
maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe
Анализирует траффик идущий к следующим адресам:
61.220.60.***
61.220.62.***
61.220.56.***
61.220.62.***
203.69.46.***
220.130.113.***
Таким способом троянец пытается похитить информацию об учетных записях игроков следующих игр:
ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver
и некоторых других. Также троянец анализирует файлы настроек вышеупомянутых игр и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.
Собранные данные отправляются на сайт злоумышленника.
Также троянец изменяет значения следующих параметров ключей системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "0"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "2"
"ShowSuperHidden" = "0"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Pocilies/Explorer]
"NoDriveTypeAutoRun" = "0x91"
Пытается завершить следующие процессы:
KAV
RAV
AVP
KAVSVC
Также троянец обладает функционалом червя, распространяющегося при помощи сменных носителей. Троянец копирует свой исполняемый файл в корень каждого раздела:
X:/n6j.com
где, X – буква раздела.
Также вместе со своим исполняемым файлом троянец помещает в корень диска сопровождающий файл:
X:/autorun.inf
который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
%System%/kavo.exe
- Перезагрузить компьютер.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр в ключе системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Run]
"kava" = "%System%/kavo.exe"
- Восстановить оригинальные параметры в ключах системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue" = "0"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden" = "2"
"ShowSuperHidden" = "0"
[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Pocilies/Explorer]
"NoDriveTypeAutoRun" = "0x91"
- Удалить файл:
%System%/kavo0.dll
- Очистить содержимое папки %Temp%
- Удалить файлы со всех съемных дисков:
X:
6j.com
X:autorun.inf
где X – буква диска.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
|