Trojan-PSW.Win32.OnLineGames.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-PSW.Win32.OnLineGames.a Троянская программа, относящаяся к семейству троянов, похищающих пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 52 738 байт. Упакован при помощи NsPack, распакованный размер ~303 104 байт. Написана на Visual Basic.

Содержание

Инсталляция

Копирует свой исполняемый файл как: 

%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe

Изменяет значение ключей реестра на следующие: 

[HKCR\.bfc\ShellNew]
"Command"="%System%\rundll32.com %System%\syncui.dll,Briefcase_Create %2!d! %1"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations"="No"
[HKCR\cplfile\shell\cplopen\command]
@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"
[HKCR\dunfile\shell\open\command]
@="%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@="%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
[HKCR\Drive\shell\find\command]
@="%WinDir%\explorer.com"
[HKCR\ftp\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.com\" %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="%Program Files%\Internet Explorer\iexplore.com"
[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.com -nohome"
[HKCR\htmlfile\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.com -nohome"
[HKCR\inffile\shell\Install\command]
@="%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@="%Program Files%\Common Files\iexplore.pif -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.com %1"
[HKCR\InternetShortcut\shell\open\command]
@="finder.com shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@="finder.com shdocvw.dll,OpenURL %l"
[HKCR\htmlfile\shell\print\command]
@="rundll32.com %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@="%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@="%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@="%Program Files%\Common Files\iexplore.pif %1"
[HKCR\inffile\shell\Install\command]
@="%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@="%Program Files%\common~1\iexplore.pif -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.com %1"
[HKCR\InternetShortcut\shell\open\command]
@="finder.com shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@="finder.com shdocvw.dll,OpenURL %l"
[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@="rundll32.com %System%\mshtml.dll,PrintHTML %1”
[HKCR\.lnk\ShellNew]
"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@="%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@="%Program Files%\Common Files\iexplore.pif %1"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%WinDir%\WINLOGON.EXE"

[HKCR\scrfile\shell\install\command]
@="finder.com desk.cpl,InstallScreenSaver %l"
[HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
@="finder.com desk.cpl,InstallScreenSaver %l"
[HKCR\scriptletfile\Shell\Generate Typelib\command]
@="%System%\finder.com %System%\scrobj.dll,GenerateTypeLib %1"
[HKCR\telnet\shell\open\command]
@="finder.com url.dll,TelnetProtocolHandler %l"

Таким образом троян будет запускаться каждый раз при попытке открытия файлов некоторых типов, запуске программ или открытии логических дисков при помощи Проводника Windows. Так же троян будет запущен при попытке открыть интернет ярлыки, ссылку в интернете или файлы настроек модемных соединений(.dun).

Деструктивная активность

Ищет в системе процесс с именем wow.exe, получает путь, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы: 

realmlist.wtf
update.ini

Следит за клавиатурным вводом пользователя, когда тот открывает следующие сайты в Internet Explorer: 

eu.logon.worldofwarcraft.com
tw.logon.worldofwarcraft.com
us.logon.worldofwarcraft.com

Ищет в системе процесс с именем woool.exe, получает путь, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы: 

\data\woool.dat
\data\game.ini
\data\*.update
update.lib.scf
\data\WOOOL88.DAT
\data\WOOOLe88.DAT

Завершает процессы, которые содержат в своих именах строки: 

RAVMON
TROJDIE
KPOP
CCENTER
ASSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA
TROJAN
MMSK

Собранную информацию троян отсылает на сайт злоумышленникам.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить троянский процесс(возможное имя WINLOGON.EXE).
  2. Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Установить значения следующих параметров ключей реестра как указано ниже:
    4. [HKCR\.bfc\ShellNew]
"Command"="%System%\rundll32.exe %System%\syncui.dll,Briefcase_Create %2!d! %1"
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations"="Yes"
[HKCR\cplfile\shell\cplopen\command]
@="rundll32.exe shell32.dll,Control_RunDLL \"%1\",%*"
[HKCR\dunfile\shell\open\command]
@="%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@="%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
[HKCR\Drive\shell\find\command]
@="%WinDir%\explorer.exe"
[HKCR\ftp\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.exe %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="%Program Files%\Internet Explorer\iexplore.exe"
[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.exe -nohome"
[HKCR\htmlfile\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.exe -nohome"
[HKCR\inffile\shell\Install\command]
@="%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@="%Program Files%\Common Files\iexplore.exe -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.exe %1"
[HKCR\InternetShortcut\shell\open\command]
@="rundll32.exe shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@="rundll32.exe shdocvw.dll,OpenURL %l"
[HKCR\htmlfile\shell\print\command]
@="rundll32.exe %System%\mshtml.dll,PrintHTML %1"
[HKCR\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@="%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"
[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@="%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@="%Program Files%\Common Files\iexplore.exe %1"
[HKCR\inffile\shell\Install\command]
@="%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
[HKCR\HTTP\shell\open\command]
@="%Program Files%\common~1\iexplore.exe -nohome"
[HKCR\Applications\iexplore.exe\shell\open\command]
@="%Program Files%\Internet Explorer\iexplore.exe %1"
[HKCR\InternetShortcut\shell\open\command]
@="rundll32.exe shdocvw.dll,OpenURL %l"
[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@="rundll32.exe shdocvw.dll,OpenURL %l"
[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@="rundll32.exe %System%\mshtml.dll,PrintHTML %1”
[HKCR\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
[HKCR\Unknown\shell\openas\command]
@="%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"
[HKCR\htmlfile\shell\opennew\command]
@="%Program Files%\Common Files\iexplore.exe %1"

[HKCR\scrfile\shell\install\command]
@="rundll32.exe desk.cpl,InstallScreenSaver %l"
[HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
@="rundll32.exe desk.cpl,InstallScreenSaver %l"
[HKCR\scriptletfile\Shell\Generate Typelib\command]
@="%System%\rundll32.exe %System%\scrobj.dll,GenerateTypeLib %1"
[HKCR\telnet\shell\open\command]
@="rundll32.exe url.dll,TelnetProtocolHandler %l"
  1. Удалить параметр в ключе реестра:
    2. [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%WinDir%\WINLOGON.EXE"
  1. Удалить файлы:
    2. %System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-PSW.Win32.OnLineGames.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.