Trojan-GameThief.Win32. OnLineGames.wvkw

Троянская программа, похищающая пароли пользователя. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 36865 байт. Написана на C++.

name="doc3">

Деструктивная активность

Троянская библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого библиотека внедряется в адресное пространство процесса "wow.exe", после чего в системе находится окно с именем класса "GxWindowClassD3d" и заголовком "World of Warcraft". Из данного окна похищается информация, вводимая пользователем при входе в on-line игру. Собранная информация передается в виде параметров на следующий URL: http://w.p***xe.com:888/adx/wow.asp Библиотека экспортирует функцию с именем "AR", при вызове которой создается ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"jimuqf" = "RUNDLL32.EXE <полный путь к оригинальному 
файлу троянца>,w"

Таким образом, при каждом следующем старте системы посредством системной утилиты "RUNDLL32.EXE" из троянской библиотеки будет вызываться функция с именем "w".

При вызове экспортируемой функции "w" выполняются следующие действия:

• тело троянца копируется в файл:

  <Path>\msvcr70.dll

  Значение подстроки "<Path>" считывается из ключа системного реестра:

  [HKLM\Software\Blizzard Entertainment\World of Warcraft]
  "GamePath"
  

• В файл

  <Path>\wow.exe

  дописывается секция ".ngaut", содержащая код для внедрения библиотеки "<Path>\msvcr70.dll" в адресное пространство данного процесса. При этом точка входа "wow.exe" изменяется и указывает на код в дописанной секции.
• Устанавливается хук-процедура, позволяющая отслеживать сообщения в системной очереди.
• Создается ключ системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "jimuqf" = "RUNDLL32.EXE <полный путь к оригинальному 
  файлу троянца>,w"