Trojan-GameThief.Win32.Magania.bvqf

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа с функционалом червя. Является приложением Windows (PE-EXE файл). Имеет размер 160514 байт.

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\ahnsbsb.exe

После чего извлекает из своего исполняемого файла следующий файл:

%System%\ahnxsds0.dll

Данный файл имеет размер 81920 байта и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.Magania.bvqu

Так же извлекает из своего тела файл:

%System%\ahnfgss0.dll

Данный файл имеет размер 75776 байта и детектируется Антивирусом Касперского как Trojan-Trojan-GameThief.Win32.Magania.bvqn

Регистрирует свою бибилиотеку в системе как Browser Helper Object, при этом создаются следующие ключи реестра:

Распространение

Троянец копирует свой исполняемый файл в корень каждого раздела:

<X>:\j8dfa.exe

где, X – буква раздела.

Так же вместе со своим исполняемым файлом помещает в корень диска сопровождающий файл:

<X>:\autorun.inf

который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы ”Проводник”.

Деструктивная активность

Троянец подгружает извлеченную библиотеку во все запущенные в системе процессы. Перехватывает ввод от клавиатуры и мыши в следующих процессах:

TwelveSky2.exe
Mir3Game.exe
dnf.exe
maplestory.exe
winbaram.exe
GVOnline.bin
pleione.dll
Ragexe.exe
l2.bin
lin.bin
InphaseNXD.exe
aion.bin
wow.exe

Анализирует траффик идущий к следующим адресам:

210.180.67.***
210.180.67.***
210.180.67.***
210.180.67.***
210.180.66.***
210.180.70.***

Таким способом, троянец пытается похитить информацию об учетных записях игроков популярных оналайн игр. Так же троянец анализирует файлы настроек игр и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.

Собранные данные отправляются на сайты злоумышленника в параметрах HTTP запросов к следующим адресам:

http://*****gtu8.com/hhz/htc/lin.asp
http://*****gtu8.com/hhz/hfg/lin.asp
http://*****gtu8.com/hhz/hfb/lin.asp
http://*****gtu8.com/hhz/hnf/lin.asp
http://*****gtu8.com/hhz/hlq/lin.asp
http://*****gtu8.com/hhz/shi/lin.asp
http://*****gtu8.com/hhz/hyh/lin.asp
http://*****gtu8.com/hhz/hc3/lin.asp
http://*****gtu8.com/hhz/hts/lin.asp

Троянец изменяет значения следующих параметров ключей реестра: Пытается завершить следующие процессы:

LIVESRV.EXE
VCRMON.EXE
Update.exe
CCSVCHST.EXE
ULERSVC.EXE
luall.exe
ASHDISP.EXE
AVP.EXE
prupdate.ppl
AYAGENT.AYE
AYUpdate.aye
UFSEAGNT.EXE
fFnUp.exe
UfUpdUi.exe
AVGNT.EXE
preupd.exe
update.exe
VSTSKMGR.EXE
mcupdate.exe
AVGRSX.EXE
avgupd.exe

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить файл:

   %System%\ahnsbsb.exe

2. Перезагрузить компьютер
3. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить параметры в ключах системного реестра:
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] ahnsoft=%System%\ahnsbsb.exe [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = "0" [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = "2" [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden" = "0" [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer] "NoDriveTypeAutoRun" = "0x91"
5. Удалить ключи системного реестра:
   [HKCR\CLSID\{AF4DA69B-E1D6-469A-855B-6445294857D4}] [HKCR\IEHlprObj.IEHlprObj.1] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF4DA69B-E1D6-469A-855B-6445294857D4}]
6. Удалить файлы:

   %System%\ahnxsds0.dll
   %System%\ahnfgss0.dll

7. Удалить файлы со всех дисков:

   <X>:\j8dfa.exe
   <X>:\autorun.inf

   где, X – буква диска.
8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Worm. Создает свои копии на локальных дисках и доступных для записи сетевых ресурсах

• Trojan-Spy. Выполняет электронный "шпионаж" за пользователем

• Trojan-GameThief. Похищает конфиденциальную информацию из игр

• Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы

• Trojan. Выполняет действия, характерные для вредоносных программ

• Trojan. Изменяет системные настройки компьютера

• Выполняет потенциально-опасные действия

Технические детали

Основной файл является приложением Windows (PE EXE-файл). Имеет размер 160514 байт.

Методы проникновения

- Подключение к компьютеру зараженного сменного носителя

- Запуск зараженного файла из локальной сети

Инсталляция

После запуска создает свои копии на компьютере Пользователя

Создает файлы на зараженном компьютере. Созданные файлы детектируются Антивирусом Касперского как:

• Trojan-GameThief.Win32.Magania.bvqn

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку установленных файлов:

путем прописывания в ключах автозапуска системного реестра

Вредоносная активность

Помещает в корень каждого диска сопровождающий файл: autorun.inf. Каждый раз, когда пользователь открывает такой раздел при помощи программы "Проводник", запускаются установленные зараженные файлы

Следит за действиями пользователя, устанавливая системные перехватчики, выполняющие:

• ­Перехват нажатых клавиш клавиатуры­

Похищает Вредоносная программа, предназначенная для кражи аккаунтов (логин и пароль) и иной информации для доступа к многопользовательским играм. Похищенная информация передается злоумышленнику при помощи электронной почты, ftp, web и других способов. Похищенные данные используются злоумышленником для кражи виртуальной собственности игрока и в других мошенничествах.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007565конфиденциальную информацию пользователя из следующих игр:

• Lineage
• Maple Story
• Tales Weaver

Создает файлы на зараженном компьютере. Созданные файлы детектируются Антивирусом Касперского как:

• Trojan-GameThief.Win32.Magania.bvqu

После чего обеспечивается Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузка установленных файлов:

путем прописывания в ключах автозапуска системного реестра

Установленные файлы запускаются на исполнение

Внедряет свой код в заданные процессы

С целью защиты от сетевых экранов и антивирусов ищет окна сообщений и путем нажатия на соответствующие кнопки разрешает программе запрашиваемое действие

Изменяет (или удаляет) ключи системного реестра с целью ограничения функциональности ОС Windows

Описание изменяемых ключей реестра:

• ­Включает/выключает отображение скрытых и системных файлов­

Пытается найти файлы с определенными именами

Прочие действия

Выполняет запуск определенных файлов (команд)

Изменяет некоторые ключи системного реестра