Trojan-PSW.Win32.Hangame.cn

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.Hangame.cn Троянская программа, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE-EXE файл). Имеет размер 57 856 байт. Упакована при помощью UPX. Распакованный размер 164 КБ. Написана на Delphi.

Инсталляция

При запуске троянец завершает следующие процессы: 

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe
KVMonXP.KXP
KRegEx.exe
KVXP.KXP

После чего копирует свое тело в один из следующих каталогов: 

%Program Files%\Internat.exe
%Program Files%\rundll32.exe
%Program Files%\svhost32.exe
%WinDir%\inf\Internat.exe
%WinDir%\inf\rundll32.exe
%WinDir%\inf\svhost32.exe

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
"Rhg" = "путь_и_имя_файла_троянца"

Распаковывает библиотеку DLL в системный каталог: 

%System%\hhdll.dll (91 136 байт, детектируется Антивирусом Касперского как Trojan-PSW.Win32.Hangame.cp)

Деструктивная активность

Троянец собирает различную конфиденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов) и периодически отправляет ее на почту злоумышленнику "tset@163.com" при помощи одного из скриптов: 

http://www.x*****u.com/tset/hg/hg.asp?tomail=tset@163.com&mailbody=
HTTP://www.hgtt.net/tset/hg/hg.asp?tomail=tset@163.com&mailbody=

Также производит кражу логинов и паролей к игре http://www.hangame.com, специально отслеживая обращение к этому ресурсу через браузер "Internet Explorer". Полученную информацию троянец отсылает вместе с IP-адресом зараженного компьютера, на электронный адрес "abcdef.abde@263.net" от имени "bill@microsoft.com". Украденную информацию троянец сохраняет в файлы: 

c:\gamehg.txt
%Work%\e1.dat

Далее загружает файл со следующего URL 

http://www.i******e.net/test/hg/test.exe (на момент создания описания ссылка не работала)

и сохраняет его в рабочий каталог троянца, после чего запускает на выполнение: 

%Work%\e1.exe

Рекомендации по удалению

  1. При помощи «Диспетчера задач» завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    4. c:\gamehg.txt
%Work%\e1.dat
%Work%\e1.exe
%System%\hhdll.dll
  4. Удалить значение ключа реестра:
    5. [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\]
"Rhg" = "путь_и_имя_файла_троянца"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.Hangame.cn»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.