Az OnlineGames trójai továbbra is szorgalmasan munkálkodik rajta, hogy minél több bizalmas adatot gyűjtsön össze.

Az OnlineGames trójai legújabb “ce” betűjelű variánsa — hasonlóan a kártevő eddig felbukkant változataihoz — elsősorban online játékokhoz tartozó felhasználóneveket és jelszavakat igyekszik megszerezni. A trójai nem végez különösebben összetett műveleteket a fertőzött számítógépeken, hiszen azokon mindössze két fájlt hoz létre, majd néhány ponton módosítja a regisztrációs adatbázist. Ezzel beregisztrálja a saját kártékony DLL állományát, és képessé válik különféle bizalmas adatok megszerzésére. Az OnlineGames.ce elsősorban kártékony weboldalakon valamint fájlcserélő hálózatokon keresztül igyekszik minél több számítógépre rákerülni.

Játékokra hajt az OnlineGames trójai

Amikor az OnlineGames.ce trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %WINDIR%\system32\dpvvoxmh.nls
    %WINDIR%\system32\dpvvoxmh.tmp
  2. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
    hkey_local_machine\software\classes\clsid\{2876d76c-caaa-4313-af97-8d1d9a2a1087}\inprocserver32\(default) = c:\windows\system32\dpvvoxmh.dll
    hkey_local_machine\software\classes\clsid\{2876d76c-caaa-4313-af97-8d1d9a2a1087}\inprocserver32\threadingmodel = apartment
  3. A regisztrációs adatbázisban módosítja az alábbi értékeket:
    hkey_local_machine\software\microsoft\windows\currentversion\
    shellserviceobjectdelayload\dpvvoxmh.dll = {2876d76c-caaa-4313-af97-8d1d9a2a1087}
    hkey_local_machine\system\currentcontrolset\control\session manager\pendingfilerenameoperations = \??\c:\windows\system32\dpvvoxmh.tmp!\
  4. Online játékokhoz tartozó jelszavakat próbál összegyűjteni.
  5. Az összegyűjtött információkat továbbítja a támadók számára.