Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах WOW.
Инсталляция
После запуска троянец создает в корне диска С:\ DLL-библиотеку с именем:
c:\nxldr.dat
После чего загружает и вызывает из нее функцию "start".
При загрузке библиотека копирует свой исполняемый файл в системную папку Windows с именем:
%System32%\KB896425.log
Для автоматического запуска при каждом старте Windows троянец создает службу с именем NetWork Logon:
[HKLM\System\CurrentControlSet\Services\NetWorkLogon]
Деструктивная активность
При загрузке библиотека получает список процессов и загружает себя в адресное пространство к случайно выбранному процессу из списка, а так же к процессам с именами:
EXPLORER.EXE IEXPLORE.EXE
для которых библиотека устанавливает перехватчик функции send из библиотеки WS2_32.dll, с помощью которого следит за HTTP запросами пользователя. Для запросов POST содержащих в URL следующую строку:
/vk/unblock_deal.php
троянец получает значения следующих параметров:
account=
pin=
если в URL встречается строка /dologin.php, троянец получает значения следующих параметров:
loginname=
&password=
для процесса с именем WOW.EXE троянская программа получает значения полей ввода в диалогах, а так же делает скриншоты некоторых диалогов.
Собранную информацию троянец отправляет на сайт злоумышленника.
Так же троянец удаляет из URL-кеша браузера все ссылки, содержащие строку «the9.com».
Разбираем кейсы, делимся опытом, учимся на чужих ошибках