Security Lab

Trojan-PSW.Win32. WOW.el

Trojan-PSW.Win32. WOW.el

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах WOW.

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах WOW. Является приложением Windows (PE EXE-файл). Написана на Delphi. Размер файла троянца — 136069 байт. Упакован с помощью NsPack, распакованный размер — около 316 КБ.

Инсталляция

После запуска троянец создает в корне диска С:\ DLL-библиотеку с именем:

c:\nxldr.dat

После чего загружает и вызывает из нее функцию "start".

При загрузке библиотека копирует свой исполняемый файл в системную папку Windows с именем:

%System32%\KB896425.log

Для автоматического запуска при каждом старте Windows троянец создает службу с именем NetWork Logon:

[HKLM\System\CurrentControlSet\Services\NetWorkLogon]

Деструктивная активность

При загрузке библиотека получает список процессов и загружает себя в адресное пространство к случайно выбранному процессу из списка, а так же к процессам с именами:

  EXPLORER.EXE
  IEXPLORE.EXE
  

для которых библиотека устанавливает перехватчик функции send из библиотеки WS2_32.dll, с помощью которого следит за HTTP запросами пользователя. Для запросов POST содержащих в URL следующую строку:

  /vk/unblock_deal.php
  

троянец получает значения следующих параметров:

account=
pin=

если в URL встречается строка /dologin.php, троянец получает значения следующих параметров:

loginname=
&password=

для процесса с именем WOW.EXE троянская программа получает значения полей ввода в диалогах, а так же делает скриншоты некоторых диалогов.

Собранную информацию троянец отправляет на сайт злоумышленника.

Так же троянец удаляет из URL-кеша браузера все ссылки, содержащие строку «the9.com».

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!