Virusreporter - World of Warcraft och Wowpa Trojan
Wowpa -trojanen kan orsaka skada och irritation för World of Warcraft -fans när den försöker skaffa lösenord för det här spelet.
A Wow Trojanens huvudsyfte är att skanna konfidentiell information från World of Warcraft -fans. Följaktligen gör den ändringar i systemet som gör det möjligt att logga tangenttryckningar. Trojanen aktiveras när texten “World of Warcraft” visas i titelfältet i fönstret som öppnas eller när en wow.exe -process startar på det infekterade systemet.
Förutom konfidentiell data från World of Warcraft samlar Wowpa Trojan flitigt systeminformation, som kan inkludera:
- IP -adress och värdnamn,
- spelserverns namn,
- olika spelrelaterad information.
Trojanen kan också ladda ner ytterligare skadliga filer över Internet.
När Wowpa Trojan startar utför den följande åtgärder:
- Skapa följande filer:
% System% \ Launcher.exe
% System% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Help \ MSpass.exe
% System% \ mywow.dll
% System% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Help \ MShook.dll - Följande poster läggs till i registreringsdatabasen:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= "% System% \ Launcher.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"% System% \ Server.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
“RUNDLL32.EXE% Windows% \ BhoPlugin.dll, installera”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
“RUNDLL32.EXE C: \ WINDOWS \ system32 \ WinHel.dll, installera” - Ändra följande värden i registret:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
"% Windows% \ help \ MSpass.exe"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ObjectName = “LocalSystem”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Description = “mos”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ DisplayName = “MS Massacre”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 “Rot \ LEGACY_MSMASSACRE \ 0000”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Det försöker få användarinformation för World of Warcraft. För att göra detta övervakar det ständigt användaraktivitet och övervakar alla fönster som har en "World of Warcraft" -titelfält eller som tillhör wow.exe -processen.
- Logga in knapptryckningar.
- Samlar in systeminformation.
- Den laddar ner en skadlig fil från Internet och sparar den sedan enligt följande:
% Temp% \ wowupdate.exe
