Izvjestitelj o virusima - World of Warcraft i Trojanac Wowpa
Trojanac Wowpa može naštetiti i iznervirati ljubitelje World of Warcrafta dok pokušava dobiti lozinke za ovu igru.
A wowpa Trojanov glavni cilj je špijuniranje povjerljivih podataka obožavatelja World of Warcrafta. U skladu s tim, vrši promjene u sustavu koje mu omogućuju bilježenje pritisaka tipki. Trojanac se aktivira kada se u adresnoj traci prozora koji se otvori pojavi tekst "World of Warcraft" ili kada se na zaraženom sustavu pokrene wow.exe proces.
Uz povjerljive podatke iz World of Warcrafta, trojanac Wowpa marljivo prikuplja i sistemske informacije koje mogu uključivati:
- IP adresa i ime hosta,
- ime poslužitelja za igre,
- razne informacije povezane s igrama.
Trojanac također može preuzeti dodatne zlonamjerne datoteke putem Interneta.
Kada se Wowpa Trojanac pokrene, izvršava sljedeće radnje:
- Stvorite sljedeće datoteke:
% System% \ Launcher.exe
% Sustav% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Help \ MSpass.exe
% System% \ mywow.dll
% Sustav% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Help \ MShook.dll - Sljedeći unosi dodani su u bazu podataka o registraciji:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= “%System%\Launcher.exe”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
“%System%\Server.exe”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
“RUNDLL32.EXE %Windows%\BhoPlugin.dll,Instaliraj”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
“RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll,Instaliraj” - Izmijenite sljedeće vrijednosti u registru:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
“%Windows%\help\MSpass.exe”
HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = “LocalSystem”
HKLM\System\CurrentControlSet\Services\MSmassacre\Description = “mos”
HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = “MS Massacre”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 “Korijen\LEGACY_MSMASSACRE\0000”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Pokušaj dobivanja korisničkih podataka za igru World of Warcraft. Da bi to učinio, neprestano nadzire aktivnost korisnika i prati svaki prozor koji ima naslov "World of Warcraft" ili pripada procesu wow.exe.
- Zabilježite pritiske tipki.
- Prikuplja informacije o sustavu.
- Zlonamjernu datoteku preuzima s Interneta, a zatim je sprema na sljedeći način:
% Temp% \ wowupdate.exe
