Vírushíradó – A World of Warcraft és a Wowpa trójai

A Wowpa trójai a World of Warcraft kedvelőinek okozhat kárt és bosszúságot, ugyanis ennek a játéknak a jelszavait igyekszik megszerezni.

A Wowpa trójai legfőbb célja, hogy a World of Warcraft kedvelőinek bizalmas adatait kifürkéssze. Ennek megfelelően olyan módosításokat végez a rendszerben, amelyek révén képes naplózni a billentyűleütéseket. A trójai akkor aktivizálódik, ha a megnyíló ablak címsorában a “World of Warcraft” szöveg szerepel vagy egy wow.exe folyamat indul el a fertőzött rendszeren.

A Wowpa trójai a World of Warcrafthoz tartozó bizalmas adatok mellett rendszerinformációkat is szorgalmasan gyűjtöget, amelyek a következők lehetnek:

• IP cím és hosztnév,
• játékszerver neve,
• különböző, játékkal kapcsolatos információk.

A trójai az Interneten keresztül további kártékony fájlok letöltésére is képes.

Amikor a Wowpa trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\Launcher.exe
   %System%\SVCH0ST.EXE
   %System%\Server.exe
   %Windows%\Help\MSpass.exe
   %System%\mywow.dll
   %System%\fsmgmt.dll
   %Temp%\WowInitcode.dll
   %Temp%\WowInitcode.dat
   %System%\BhoPlugin.dll
   %System%\WinHel.dll
   %Windows%\Help\MShook.dll
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\wow
   = “%System%\Launcher.exe”
   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Systems32 =
   “%System%\Server.exe”
   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MShelp =
   “RUNDLL32.EXE %Windows%\BhoPlugin.dll,Install”
   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ManagerHLP =
   “RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll,Install”
3. A regisztrációs adatbázisban módosítja a következő értékeket:
   HKLM\System\CurrentControlSet\Services\MSmassacre\ImagePath =
   “%Windows%\help\MSpass.exe”
   HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = “LocalSystem”
   HKLM\System\CurrentControlSet\Services\MSmassacre\Description = “mos”
   HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = “MS Massacre”
   HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\
   0 “Root\LEGACY_MSMASSACRE\0000”
   HKLM\System\CurrentControlSet\Services\MSmassacre\ErrorControl = 0x0
   HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\Count = 0x1
   HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\NextInstance = 0x1
   HKLM\System\CurrentControlSet\Services\MSmassacre\Start = 0x2
4. Megpróbál a World of Warcraft játékhoz tartozó felhasználói információkat szerezni. Ennek érdekében folyamatosan monitorozza a felhasználó tevékenységét, és minden olyan ablakot figyel, amely “World of Warcraft” címsorral rendelkezik vagy a wow.exe folyamathoz tartozik.
5. Naplózza a billentyűleütéseket.
6. Rendszerinformációkat gyűjt össze.
7. Egy kártékony fájlt tölt le az Internetről, majd elmenti azt a következők szerint:
   %Temp%\wowupdate.exe