Инфа о сайте
Сайты
Статьи
Форум
KamPol-LUG
Тесты
Проект
Гостевая
Club music
Баллы
Баннеры
Радио

()                                                   

 

  • Страница 1 из 1
  • 1
Архив - только для чтения
Модератор форума: Gangster  
Наш продвинутый форум » Програмное обеспечение и интернет » Всё о всех вирусах » Trojan-GameThief.Win32.OnLineGames.wvkw (Любителям WOW Online читать обязательно.)
Trojan-GameThief.Win32.OnLineGames.wvkw
-=WaMpIr=-Дата: Среда, 03.11.2010, 14:19 | Сообщение # 1
Генерал-майор
Группа: Администраторы
Сообщений: 298
Статус: Выкл...
Технические детали:
Троянская программа, похищающая пароли пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 36865 байт. Написана на C++.

Деструктивная активность:
Троянская библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого библиотека внедряется в адресное пространство процесса "wow.exe", после чего в системе находится окно с именем класса "GxWindowClassD3d" и заголовком "World of Warcraft". Из данного окна похищается информация, вводимая пользователем при входе в on-line игру. Собранная информация передается в виде параметров на следующий URL: http://w.p***xe.com:888/adx/wow.asp Библиотека экспортирует функцию с именем "AR", при вызове которой создается ключ системного реестра:

Code
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"jimuqf" = "RUNDLL32.EXE <полный путь к оригинальному       
файлу троянца>,w"

Таким образом, при каждом следующем старте системы посредством системной утилиты "RUNDLL32.EXE" из троянской библиотеки будет вызываться функция с именем "w".
При вызове экспортируемой функции "w" выполняются следующие действия:

  • тело троянца копируется в файл:
    Code
    <Path>\msvcr70.dll

    Значение подстроки "" считывается из ключа системного реестра:
    Code
    [HKLM\Software\Blizzard Entertainment\World of Warcraft]
    "GamePath"

  • В файл
    Code
    <Path>\wow.exe

    дописывается секция ".ngaut", содержащая код для внедрения библиотеки "\msvcr70.dll" в адресное пространство данного процесса. При этом точка входа "wow.exe" изменяется и указывает на код в дописанной секции.
  • Устанавливается хук-процедура, позволяющая отслеживать сообщения в системной очереди.
  • Создается ключ системного реестра:
    Code
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "jimuqf" = "RUNDLL32.EXE <полный путь к оригинальному       
    файлу троянца>,w"

    Рекомендации по удалению:
    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
    Завершить процесс "wow.exe".
    Восстановить оригинальное содержимое файла:
    Code
    <Path>\wow.exe

    Удалить файл:
    Code
    <Path>\msvcr70.dll

    Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    Удалить ключ системного реестра (как работать с реестром?):
    Code
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "jimuqf" = "RUNDLL32.EXE <полный путь к оригинальному       
    файлу троянца>,w"

    Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами(скачать пробную версию)
    Источник


    •  
    Наш продвинутый форум » Програмное обеспечение и интернет » Всё о всех вирусах » Trojan-GameThief.Win32.OnLineGames.wvkw (Любителям WOW Online читать обязательно.)
    • Страница 1 из 1
    • 1
    Поиск:

      
    Copyright KamPol-LUG © 2024 Хостинг от uCoz