Vírushíradó – A World of Warcraft és a Wowpa trójai
A Wowpa trójai a World of Warcraft kedvelőinek okozhat kárt és bosszúságot, ugyanis ennek a játéknak a jelszavait igyekszik megszerezni.
A Wowpa trójai legfőbb célja, hogy a World of Warcraft kedvelőinek bizalmas adatait kifürkéssze. Ennek megfelelően olyan módosításokat végez a rendszerben, amelyek révén képes naplózni a billentyűleütéseket. A trójai akkor aktivizálódik, ha a megnyíló ablak címsorában a “World of Warcraft” szöveg szerepel vagy egy wow.exe folyamat indul el a fertőzött rendszeren.
A Wowpa trójai a World of Warcrafthoz tartozó bizalmas adatok mellett rendszerinformációkat is szorgalmasan gyűjtöget, amelyek a következők lehetnek:
- IP cím és hosztnév,
- játékszerver neve,
- különböző, játékkal kapcsolatos információk.
A trójai az Interneten keresztül további kártékony fájlok letöltésére is képes.
Amikor a Wowpa trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\Launcher.exe
%System%\SVCH0ST.EXE
%System%\Server.exe
%Windows%\Help\MSpass.exe
%System%\mywow.dll
%System%\fsmgmt.dll
%Temp%\WowInitcode.dll
%Temp%\WowInitcode.dat
%System%\BhoPlugin.dll
%System%\WinHel.dll
%Windows%\Help\MShook.dll - A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\wow
= “%System%\Launcher.exe”
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Systems32 =
“%System%\Server.exe”
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MShelp =
“RUNDLL32.EXE %Windows%\BhoPlugin.dll,Install”
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ManagerHLP =
“RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll,Install” - A regisztrációs adatbázisban módosítja a következő értékeket:
HKLM\System\CurrentControlSet\Services\MSmassacre\ImagePath =
“%Windows%\help\MSpass.exe”
HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = “LocalSystem”
HKLM\System\CurrentControlSet\Services\MSmassacre\Description = “mos”
HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = “MS Massacre”
HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\
0 “Root\LEGACY_MSMASSACRE\0000”
HKLM\System\CurrentControlSet\Services\MSmassacre\ErrorControl = 0x0
HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\Count = 0x1
HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\NextInstance = 0x1
HKLM\System\CurrentControlSet\Services\MSmassacre\Start = 0x2 - Megpróbál a World of Warcraft játékhoz tartozó felhasználói információkat szerezni. Ennek érdekében folyamatosan monitorozza a felhasználó tevékenységét, és minden olyan ablakot figyel, amely “World of Warcraft” címsorral rendelkezik vagy a wow.exe folyamathoz tartozik.
- Naplózza a billentyűleütéseket.
- Rendszerinformációkat gyűjt össze.
- Egy kártékony fájlt tölt le az Internetről, majd elmenti azt a következők szerint:
%Temp%\wowupdate.exe