Технические детали
Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE EXE-файл). Имеет размер 20008 байт. Упакована при помощи UPX. Распакованный размер — около 38 КБ. Написана на C++.
Деструктивная активность
После активации троянец завершает следующий процесс:
elementclient.exe
Далее троянец проверяет наличие в системе следующего ключа реестра:
[HKCR/CPWUpdatePack/DefaultIcon]
Если ключ был найден, то троянец в каталог установки игры "Perfect World" извлекает динамическую библиотеку DLL под именем "CPWGame.dll":
%GameDir%/element/CPWGame.dll
Данный файл имеет размер 26152 байта и детектируется Антивирусом Касперского, как Trojan-GameThief.Win32.WOW.rui.
Также троянец извлекает вышеуказанную DLL во временный каталог текущего пользователя Windows под именем "elementgj.dll":
%Temp%/elementgj.dll
Далее файлу присваивается атрибут скрытый.
Библиотека подгружается во все запущенные процессы в системе.
По завершению своей работы троянец в своем рабочем каталоге создает файл командного интерпретатора под именем "360safe.bat":
%Work%/360safe.bat
В данный файл троянец записывает код для удаления оригинального тела троянца, самого файла командного интерпретатора и файла "a.aqq".
Далее файл "%Work%/360safe.bat" запускается на выполнение.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ( "Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%/elementgj.dll
%GameDir%/element/CPWGame.dll
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|