Trojan-PSW.Win32. WOW.el

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах WOW. Является приложением Windows (PE EXE-файл). Написана на Delphi. Размер файла троянца — 136069 байт. Упакован с помощью NsPack, распакованный размер — около 316 КБ.

Инсталляция

После запуска троянец создает в корне диска С:\ DLL-библиотеку с именем:

c:\nxldr.dat

После чего загружает и вызывает из нее функцию "start".

При загрузке библиотека копирует свой исполняемый файл в системную папку Windows с именем:

%System32%\KB896425.log

Для автоматического запуска при каждом старте Windows троянец создает службу с именем NetWork Logon:

[HKLM\System\CurrentControlSet\Services\NetWorkLogon]

Деструктивная активность

При загрузке библиотека получает список процессов и загружает себя в адресное пространство к случайно выбранному процессу из списка, а так же к процессам с именами:

  EXPLORER.EXE
  IEXPLORE.EXE
  

для которых библиотека устанавливает перехватчик функции send из библиотеки WS2_32.dll, с помощью которого следит за HTTP запросами пользователя. Для запросов POST содержащих в URL следующую строку:

  /vk/unblock_deal.php
  

троянец получает значения следующих параметров:

account=
pin=

если в URL встречается строка /dologin.php, троянец получает значения следующих параметров:

loginname=
&password=

для процесса с именем WOW.EXE троянская программа получает значения полей ввода в диалогах, а так же делает скриншоты некоторых диалогов.

Собранную информацию троянец отправляет на сайт злоумышленника.

Так же троянец удаляет из URL-кеша браузера все ссылки, содержащие строку «the9.com».