Virus Reporter - World of Warcraft a Wowpa Trojan
Trojan Wowpa může fanouškům World of Warcraft způsobit škodu a zlost, protože se pokouší získat hesla pro tuto hru.
A Páni Hlavním účelem trojského koně je skenovat důvěrné informace fanoušků World of Warcraft. V souladu s tím provádí změny v systému, které mu umožňují zaznamenávat stisknutí kláves. Trojský kůň se aktivuje, když se v infikovaném systému spustí záhlaví okna, které se otevře, text „World of Warcraft“ nebo se spustí proces wow.exe.
Kromě důvěrných dat ze hry World of Warcraft Wowpa Trojan pilně shromažďuje informace o systému, které mohou zahrnovat:
- IP adresa a název hostitele,
- název herního serveru,
- různé informace o hře.
Trojský kůň může také stáhnout další škodlivé soubory přes internet.
Po spuštění trojského koně Wowpa provede následující akce:
- Vytvořte následující soubory:
% System% \ Launcher.exe
% Systém% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Help \ MSpass.exe
% System% \ mywow.dll
% System% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Help \ MShook.dll - Do registrační databáze se přidávají následující položky:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= "% System% \ Launcher.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"% System% \ Server.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
„RUNDLL32.EXE% Windows% \ BhoPlugin.dll, instalace“
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
"RUNDLL32.EXE C: \ WINDOWS \ system32 \ WinHel.dll, instalace" - Upravte následující hodnoty v registru:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
"% Windows% \ help \ MSpass.exe"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ObjectName = „LocalSystem“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Description = “mos”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ DisplayName = „MS Massacre“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 „Kořen \ LEGACY_MSMASSACRE \ 0000“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Pokouší se získat informace o uživateli pro World of Warcraft. Za tímto účelem neustále sleduje aktivitu uživatelů a sleduje všechna okna, která mají záhlaví „World of Warcraft“ nebo patří do procesu wow.exe.
- Protokoly kláves.
- Shromažďuje informace o systému.
- Stáhne škodlivý soubor z Internetu a poté jej uloží následujícím způsobem:
% Temp% \ wowupdate.exe
