Wybierz stronę

Reporter wirusów - World of Warcraft i trojan Wowpa

Scenariusz: | 2009 lut 13 | | 0 |

Trojan Wowpa może powodować szkody i irytację fanów World of Warcraft, gdy próbuje uzyskać hasła do tej gry.

A Wow Głównym celem trojana jest skanowanie poufnych informacji fanów World of Warcraft. W związku z tym wprowadza zmiany w systemie, które pozwalają mu rejestrować naciśnięcia klawiszy. Trojan jest aktywowany, gdy tekst „World of Warcraft” pojawia się na pasku tytułowym okna, które się otwiera lub gdy w zainfekowanym systemie uruchamia się proces wow.exe.

Oprócz poufnych danych z World of Warcraft trojan Wowpa starannie zbiera informacje systemowe, które mogą obejmować:

  • adres IP i nazwa hosta,
  • nazwa serwera gry,
  • różne informacje związane z grą.

Trojan może również pobierać dodatkowe szkodliwe pliki przez Internet.

 Reporter wirusów - World of Warcraft i trojan Wowpa

Po uruchomieniu trojan Wowpa wykonuje następujące działania:

  1. Utwórz następujące pliki:
    % System% \ Launcher.exe
    % System% \ SVCH0ST.EXE
    % System% \ Server.exe
    % Windows% \ Pomoc \ MSpass.exe
    % System% \ mywow.dll
    % System% \ fsmgmt.dll
    % Temp% \ WowInitcode.dll
    % Temp% \ WowInitcode.dat
    % System% \ BhoPlugin.dll
    % System% \ WinHel.dll
    % Windows% \ Pomoc \ MShook.dll
  2. Do bazy danych rejestracyjnych dodawane są następujące wpisy:
    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
    = "% System% \ Launcher.exe"
    HKLM \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Uruchom \ Systems32 =
    "% System% \ Server.exe"
    HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
    „RUNDLL32.EXE% Windows% \ BhoPlugin.dll, zainstaluj”
    HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
    „RUNDLL32.EXE C: \ WINDOWS \ system32 \ WinHel.dll, Zainstaluj”
  3. Zmodyfikuj następujące wartości w rejestrze:
    HKLM \ System \ CurrentControlSet \ Usługi \ MSmassacre \ ImagePath =
    "% Windows% \ pomoc \ MSpass.exe"
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ObjectName = „LocalSystem”
    HKLM \ System \ CurrentControlSet \ Usługi \ MSmassacre \ Opis = „mos”
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ DisplayName = „MS Massacre”
    HKLM \ System \ CurrentControlSet \ Usługi \ MSmassacre \ Enum \
    0 „Korzeń \ LEGACY_MSMASSACRE \ 0000”
    HKLM \ System \ CurrentControlSet \ Usługi \ MSmassacre \ ErrorControl = 0x0
    HKLM \ System \ CurrentControlSet \ Usługi \ MSmassacre \ Enum \ Count = 0x1
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
    HKLM \ System \ CurrentControlSet \ Usługi \ MSmassacre \ Start = 0x2
  4. Próbuje uzyskać informacje o użytkowniku dla World of Warcraft. Aby to zrobić, stale monitoruje aktywność użytkownika i monitoruje wszystkie okna, które mają pasek tytułu „World of Warcraft” lub należą do procesu wow.exe.
  5. Rejestruj naciśnięcia klawiszy.
  6. Zbiera informacje o systemie.
  7. Pobiera złośliwy plik z Internetu, a następnie zapisuje go w następujący sposób:
    % Temp% \ wowupdate.exe
Czytanie: 1 434

Mierzyć:

O autorze

Czepiaki

powiązane posty

Diablo III - oficjalne wymagania dotyczące maszyny

Diablo III - oficjalne wymagania dotyczące maszyny

2011-09-08

Najnowszy PCMark już wkrótce

Najnowszy PCMark już wkrótce

2007-10-03

AMD Radeon ReLive Edition 17.5.1

AMD Radeon ReLive Edition 17.5.1

2017-05-08

Pliki EXE są zainfekowane wirusem Hala

Pliki EXE są zainfekowane wirusem Hala

2008-06-09

transparent

KupNajlepszy sprzęt

Ogłoszenie

Ranvee

Sprzęt AGD Ranvee