Virus Reporter - World of Warcraft og Wowpa Trojan
Wowpa -trojaneren kan forårsage skade og irritation for World of Warcraft -fans, når den forsøger at få adgangskoder til dette spil.
A Wow Hovedformålet med trojaneren er at scanne fortrolige oplysninger fra World of Warcraft -fans. Derfor foretager det ændringer i systemet, der gør det muligt at logge tastetryk. Trojanen aktiveres, når teksten “World of Warcraft” vises i titellinjen i vinduet, der åbnes, eller når en wow.exe -proces starter på det inficerede system.
Ud over fortrolige data fra World of Warcraft indsamler Wowpa Trojan flittigt systemoplysninger, som kan omfatte:
- IP -adresse og værtsnavn,
- spil server navn,
- forskellige spilrelaterede oplysninger.
Trojanen kan også downloade yderligere ondsindede filer over internettet.
Når Wowpa Trojan starter, udfører den følgende handlinger:
- Opret følgende filer:
% System% \ Launcher.exe
% System% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Help \ MSpass.exe
% System% \ mywow.dll
% System% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Help \ MShook.dll - Følgende poster tilføjes til registreringsdatabasen:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= "% System% \ Launcher.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"% System% \ Server.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
“RUNDLL32.EXE% Windows% \ BhoPlugin.dll, installer”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
“RUNDLL32.EXE C: \ WINDOWS \ system32 \ WinHel.dll, installer” - Rediger følgende værdier i registreringsdatabasen:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
"% Windows% \ help \ MSpass.exe"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ObjectName = “LocalSystem”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Description = “mos”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ DisplayName = “MS Massacre”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 “Root \ LEGACY_MSMASSACRE \ 0000”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Det forsøger at indhente brugeroplysninger til World of Warcraft. For at gøre dette overvåger den konstant brugeraktivitet og overvåger alle vinduer, der har en "World of Warcraft" -titellinje eller tilhører wow.exe-processen.
- Log tastetryk.
- Indsamler systemoplysninger.
- Den downloader en ondsindet fil fra Internettet og gemmer den derefter som følger:
% Temp% \ wowupdate.exe
