Virus Reporter - троян World of Warcraft и Wowpa
Троянец Wowpa может причинить вред и раздражение поклонникам World of Warcraft, поскольку пытается получить пароли этой игры.
A Ух ты Основная цель трояна — слежка за конфиденциальными данными фанатов World of Warcraft. Соответственно, он вносит в систему изменения, позволяющие регистрировать нажатия клавиш. Троянец активируется при появлении текста «World of Warcraft» в адресной строке открывшегося окна или при запуске процесса wow.exe в зараженной системе.
Помимо конфиденциальных данных World of Warcraft, троянец Wowpa также усердно собирает системную информацию, которая может включать в себя:
- IP-адрес и имя хоста,
- название игрового сервера,
- различная информация, связанная с игрой.
Троянец также может загружать через Интернет дополнительные вредоносные файлы.
При запуске троян Wowpa выполняет следующие действия:
- Создайте следующие файлы:
%System%\Launcher.exe
%System%\SVCH0ST.EXE
%System%\Server.exe
%Windows%\Help\MSpass.exe
%System%\mywow.dll
%System%\fsmgmt.dll
%Temp%\WowInitcode.dll
%Temp%\WowInitcode.dat
%System%\BhoPlugin.dll
%System%\WinHel.dll
%Windows%\Help\MShook.dll - В базу данных регистрации добавляются следующие записи:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\wow
= «%System%\Launcher.exe»
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Systems32 =
«%System%\Server.exe»
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MShelp =
«RUNDLL32.EXE %Windows%\BhoPlugin.dll,Установить»
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ManagerHLP =
«RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll,Установить» - Измените следующие значения в реестре:
HKLM\System\CurrentControlSet\Services\MSmassacre\ImagePath =
«%Windows%\help\MSpass.exe»
HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = «LocalSystem»
HKLM\System\CurrentControlSet\Services\MSmassacre\Description = «мос»
HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = «Резня MS»
HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\
0 «Корень\LEGACY_MSMASSACRE\0000»
HKLM\System\CurrentControlSet\Services\MSmassacre\ErrorControl = 0x0
HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\Count = 0x1
HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\NextInstance = 0x1
HKLM\System\CurrentControlSet\Services\MSmassacre\Start = 0x2 - Попытка получить информацию о пользователях игры World of Warcraft. Для этого он постоянно отслеживает активность пользователя и следит за любым окном, имеющим заголовок «World of Warcraft» или принадлежащим процессу wow.exe.
- Записывать нажатия клавиш.
- Собирает системную информацию.
- Он загружает вредоносный файл из Интернета и сохраняет его следующим образом:
%Temp%\wowupdate.exe
