A Wowpa trójai a World of Warcraft kedvelőinek okozhat kárt és bosszúságot, ugyanis ennek a játéknak a jelszavait igyekszik megszerezni.

A Wowpa trójai legfőbb célja, hogy a World of Warcraft kedvelőinek bizalmas adatait kifürkéssze. Ennek megfelelően olyan módosításokat végez a rendszerben, amelyek révén képes naplózni a billentyűleütéseket. A trójai akkor aktivizálódik, ha a megnyíló ablak címsorában a “World of Warcraft” szöveg szerepel vagy egy wow.exe folyamat indul el a fertőzött rendszeren.

A Wowpa trójai a World of Warcrafthoz tartozó bizalmas adatok mellett rendszerinformációkat is szorgalmasan gyűjtöget, amelyek a következők lehetnek:

  • IP cím és hosztnév,
  • játékszerver neve,
  • különböző, játékkal kapcsolatos információk.

A trójai az Interneten keresztül további kártékony fájlok letöltésére is képes.

 Vírushíradó - A World of Warcraft és a Wowpa trójai

Amikor a Wowpa trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\Launcher.exe
    %System%\SVCH0ST.EXE
    %System%\Server.exe
    %Windows%\Help\MSpass.exe
    %System%\mywow.dll
    %System%\fsmgmt.dll
    %Temp%\WowInitcode.dll
    %Temp%\WowInitcode.dat
    %System%\BhoPlugin.dll
    %System%\WinHel.dll
    %Windows%\Help\MShook.dll
  2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\wow
    = “%System%\Launcher.exe”
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Systems32 =
    “%System%\Server.exe”
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MShelp =
    “RUNDLL32.EXE %Windows%\BhoPlugin.dll,Install”
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ManagerHLP =
    “RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll,Install”
  3. A regisztrációs adatbázisban módosítja a következő értékeket:
    HKLM\System\CurrentControlSet\Services\MSmassacre\ImagePath =
    “%Windows%\help\MSpass.exe”
    HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = “LocalSystem”
    HKLM\System\CurrentControlSet\Services\MSmassacre\Description = “mos”
    HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = “MS Massacre”
    HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\
    0 “Root\LEGACY_MSMASSACRE\0000”
    HKLM\System\CurrentControlSet\Services\MSmassacre\ErrorControl = 0x0
    HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\Count = 0x1
    HKLM\System\CurrentControlSet\Services\MSmassacre\Enum\NextInstance = 0x1
    HKLM\System\CurrentControlSet\Services\MSmassacre\Start = 0x2
  4. Megpróbál a World of Warcraft játékhoz tartozó felhasználói információkat szerezni. Ennek érdekében folyamatosan monitorozza a felhasználó tevékenységét, és minden olyan ablakot figyel, amely “World of Warcraft” címsorral rendelkezik vagy a wow.exe folyamathoz tartozik.
  5. Naplózza a billentyűleütéseket.
  6. Rendszerinformációkat gyűjt össze.
  7. Egy kártékony fájlt tölt le az Internetről, majd elmenti azt a következők szerint:
    %Temp%\wowupdate.exe