Messenger virusov - World of Warcraft in trojanec Wowpa
Trojanec Wowpa lahko oboževalcem World of Warcraft povzroči škodo in sitnost, ko poskuša dobiti gesla za to igro.
A Vau Glavni namen trojanca je skeniranje zaupnih informacij ljubiteljev World of Warcraft. V skladu s tem spreminja sistem, ki mu omogoča beleženje pritiskov tipk. Trojanski program se aktivira, ko naslovna vrstica okna, ki se odpre, vsebuje besedilo "World of Warcraft" ali se v okuženem sistemu začne postopek wow.exe.
Trojanec Wowpa poleg zaupnih podatkov iz World of Warcraft pridno zbira tudi sistemske informacije, ki lahko vključujejo:
- Naslov IP in ime gostitelja,
- ime strežnika za igre,
- različne informacije, povezane z igrami.
Trojanec lahko prek interneta prenese tudi dodatne zlonamerne datoteke.
Ko se trojanski program Wowpa zažene, izvede naslednja dejanja:
- Ustvarite naslednje datoteke:
% System% \ Launcher.exe
% System% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Help \ MSpass.exe
% System% \ mywow.dll
% System% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Help \ MShook.dll - V bazo podatkov o registraciji se dodajo naslednji vnosi:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= "% System% \ Launcher.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"% System% \ Server.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
"RUNDLL32.EXE% Windows% \ BhoPlugin.dll, namesti"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
"RUNDLL32.EXE C: \ WINDOWS \ system32 \ WinHel.dll, namesti" - V registru spremenite naslednje vrednosti:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
"% Windows% \ help \ MSpass.exe"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ObjectName = “LocalSystem”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Opis = "mos"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ DisplayName = "Masakr MS"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 »Root \ LEGACY_MSMASSACRE \ 0000«
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Poskuša pridobiti uporabniške informacije za World of Warcraft. Za to nenehno spremlja dejavnost uporabnikov in spremlja vsa okna, ki imajo naslovno vrstico "World of Warcraft" ali spadajo v postopek wow.exe.
- Dnevnik tipk.
- Zbira sistemske informacije.
- Zlonamerno datoteko prenese iz interneta in jo shrani na naslednji način:
% Temp% \ wowupdate.exe
