|
Троянская программа, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 37 до 79 КБ. Написана на Visual Basic.
Инсталляция
При запуске троянец создает несколько копий своего исполняемого файла:
%Program Files%\Common Files\inexplore.pif
%Program Files%\Internet Explorer\inexplore.com
%System%\command.pif
%System%\dxdiag.com
%System%\msconfig.com
%System%\regedit.com
%System%\rund1132.com
%WinDir%\1.com
%WinDir%\EXP1ORER.com
%WinDir%\finders.com
%WinDir%\smss.exe
%WinDir%\Debug\DebugProgram.exe
Также троянец копирует свой исполняемый файл в корень диска D:
D:\command.com
D:\pagefile.pif
Там же создается файл автозапуска «autorun.inf», который при открытии диска в «Проводнике» Windows запускает исполняемый файл троянской программы:
D:\autorun.inf
Троянец изменяет следующие ключи реестра с целью автоматического запуска своих копий:
[HKCR\Applications\iexplore.exe\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" %1"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
""%Program Files%\Internet Explorer\inexplore.com""
[HKCR\Drive\shell\find\command]
"%WinDir%\EXP10RER.com"
[HKCR\ftp\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" %1"
[HKCR\htmlfile\shell\open\command]
""%Program Files%\Internet Explorer\inexplore.com" -nohome"
[HKCR\htmlfile\shell\opennew\command]
""%Program Files%\common~1\inexplore.pif" %1"
[HKCR\HTTP\shell\open\command]
""%Program Files%\common~1\inexplore.pif" -nohome"
[HKCR\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"
[HKLM\Software\Clients\StartMenuInternet]
"inexplore.pif"
[HKLM\Software\Clients\StartMenuInternet\inexplore.pif]
А также добавляет себя в значение автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"TProgram" = "%WinDir%\smss.exe"
Таким образом, при каждой последующей загрузке Windows автоматически запускает файл троянца.
Деструктивная активность
Троянец представляет собой программу, похищающую пароли к популярным online-играм:
* World of Warcraft
* Legend of Mir
Программа перехватывает информацию об учетных записях при открытии пользователем следующих страниц:
http://us.logon.worldofwarcraft.com
http://eu.logon.worldofwarcraft.com
Также троянец пытается завершить процессы, имена которых содержат подстроки:
VMON.EXE
TROJDIE
KPOP
ENTER
SSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA
Троянец пытается прочитать информацию из следующих файлов (если таковые присутствуют на компьютере жертвы):
data\woool88.dat
data\woool88.dat.update
data\woool.dat
data\woool.dat.update
data\game.ini
config.ini
realmlist.wtf
mir.ini
mirsetup.ini
update.ini
Собранную информацию троянец отсылает злоумышленнику через HTTP:
http://new.***soft.com.cn/upd/wow.htm?crc=
|
