Trojan-PSW.Win32.WOW.sv
Материал из Total Malware Info
Trojan-PSW.Win32.WOW.sv Троянская программа, относящаяся к семейству троянов, похищающих пароли пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 40 241 байт. Упакован при помощи AsPack, распакованный размер ~63 к.б.
Содержание |
Инсталляция
Копирует свой исполняемый файл как:
%WinDir%\IG.exe
Извлекает из своего тела следующий файл:
%WinDir%\<6 случайных цифер>WO.DLL - (41 777 байта, детектируется Антивирусом Касперского как Trojan-PSW.Win32.WOW.ta)
Для автоматического запуска при следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] WinSys=%WinDir%\IG.exe
После инсталляции троян удаляет свой исполняемый файл.
Деструктивная активность
Троян предназначен для похищения информации учетной записи пользователя игры World of Warcraft. Подгружает библиотеку:
%WinDir%\<6 случайных цифер>WO.DLL
в процесс wow.exe. Похищает содержимое файла:
realmlist.wtf
который находится в папке с файлом wow.exe. Изменяет содержимое файла:
%System%\drivers\etc\hosts
Перенаправляя на сайты злоумышленников запросы к адресам, найденным в файле
realmlist.wtf
Читает информацию о учетной записи текущего пользователя игры (пароль и имя) из памяти процесса wow.exe и отправляет на сайт злоумышленников.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи ("Диспетчера задач") завершить троянский процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах реестра (как работать с реестром?):
- Удалить файлы:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] WinSys=%WinDir%\IG.exe
%WinDir%\IG.exe %WinDir%\<6 случайных цифер>WO.DLL
