Технические детали
Троянская программа, похищающая пароли пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 36865 байт. Написана на C++.
Деструктивная активность
Троянская библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого библиотека внедряется в адресное пространство процесса "wow.exe", после чего в системе находится окно с именем класса "GxWindowClassD3d" и заголовком "World of Warcraft".
Из данного окна похищается информация, вводимая пользователем при входе в on-line игру. Собранная информация передается в виде параметров на следующий URL:
http://w.per***exe.com:888/houmen/wow.asp
Библиотека экспортирует функцию с именем "AR", при вызове которой создается ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"dloznc" = "RUNDLL32.EXE полный путь к оригинальному файлу троянца,w"
Таким образом, при каждом следующем старте системы посредством системной утилиты "RUNDLL32.EXE" из троянской библиотеки будет вызываться функция с именем "w".
При вызове экспортируемой функции "w" выполняются следующие действия:
- тело троянца копируется в файл:
Path/msvcr70.dll
Значение подстроки "Path" считывается из ключа системного реестра:
[HKLM/Software/Blizzard Entertainment/World of Warcraft]
"GamePath"
В файл
Path/wow.exe
дописывается секция ".ngaut", содержащая код для внедрения библиотеки "Path/msvcr70.dll" в адресное пространство данного процесса. При этом точка входа "wow.exe" изменяется и указывает на код в дописанной секции.
- Устанавливается хук-процедура, позволяющая отслеживать сообщения в системной очереди.
- Создается ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"dloznc" = "RUNDLL32.EXE полный путь к оригинальному файлу троянца,w"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Завершить процесс "wow.exe".
- Восстановить оригинальное содержимое файла:
Path/wow.exe
- Удалить файл:
Path/msvcr70.dll
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключ системного реестра:
[HKLM/Software/Microsoft/Windows/CurrentVersion/Run]
"dloznc" = "RUNDLL32.EXE полный путь к оригинальному файлу троянца,w"
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|