Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

Trojan-GameThief.Win32.Magania.bwsr

Время детектирования 25 авг 2009 18:53 MSK
Время выпуска обновления 25 авг 2009 23:04 MSK
Описание опубликовано 12 ноя 2009 16:08 MSK

Экспертное описание Автоматическое описание
Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE EXE-файл). В зависимости от версии имеет размер от 24708 до 48252 байт. Некоторые версии программы упакованы при помощи UPX. Написана на С++.


Деструктивная активность

После запуска троянец извлекает из своего тела файл и устанавливает ему атрибуты "скрытый" и "системный", имя файла зависит от версии троянца и может быть одним из следующих:

%WinDir%\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf
%WinDir%\Downloaded Program Files\eVaMpZ3AmmmbCPjX.Ttf
%WinDir%\Downloaded Program Files\JjedvMTDtPyqp9ZTrgw.Ttf
%WinDir%\Downloaded Program Files\EpapzVpa3DRCkpPR.Ttf
Данные файлы могут иметь размер от 196 до 212 байт и не являются вредоносными. Содержимое извлеченного файла троянец дописывает в конец извлекаемой в дальнейшем библиотеки.

После этого троянец извлекает из своего тела библиотеку с именем, зависящим от модификации вредоноса, которой также устанавливает атрибуты "скрытый" и "системный". Имя извлеченной библиотеки может быть одним из следующих:
%System%\z6FVkEF47huPzgaXee.inf - 18532 байта,
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.cces.

%System%\pEcFwPj48y6DADf87r.inf - 17920 байт,
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.cabi.

%System%\P6VyQtQJUYa3rFan7J.inf - 16984 байта,
детектируется антивирусом Касперского
как rojan-GameThief.Win32.Magania.bzvn.

%System%\SrNRKs5F7Rkv9hp.inf - 17920 байт,
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.bwyu.
Извлеченную библиотеку троянец подгружает в свое адресное пространство и вызывает из нее функцию с именем "X8d6wRhVPsmE3Ktxc".

Троянец содержит в своем теле хеш процесса, полученного с помощью алгоритма хеширования MD5, который сравнивает с хешами имен всех запущенных на компьютере пользователя процессов, если хеши совпали, тогда троянец завершает соответствующий процесс.

Также троянец удаляет системный файл, предназначенный для проверки расширений оболочки перед тем как они пропишутся в Windows Shell или Windows Explorer:
%System%\verclsid.exe
После этого троянец записывает следующую информацию в ключи системного реестра для автоматического запуска извлеченной ранее библиотеки. В зависимости от модификации троянца, ключи автозапуска могут быть следующие:
[HKCR\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32]
"(default)" = "%System%\z6FVkEF47huPzgaXee.inf"
"ThreadingModel" = "Apartment"

[HKCR\CLSID\{E16EA4C8-040B-4A12-A0F5-783963AD665D}\InprocServer32]
"(default)" = "%System%\P6VyQtQJUYa3rFan7J.inf"
"ThreadingModel" = "Apartment"

[HKCR\CLSID\{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}\InprocServer32]
"(default)" = "%System%\pEcFwPj48y6DADf87r.inf"
"ThreadingModel" = "Apartment"

[HKCR\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32]
"(default)" = "%System%\SrNRKs5F7Rkv9hp.inf"
"ThreadingModel" = "Apartment"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
"{74DA2FEC-F68F-4DC7-9A45-9174AC044427}"=""
"{E16EA4C8-040B-4A12-A0F5-783963AD665D}"=""
"{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}"=""
После этого троянец удаляет свое оригинальное тело и завершает свою работу.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    %WinDir%\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf
    %WinDir%\Downloaded Program Files\eVaMpZ3AmmmbCPjX.Ttf
    %WinDir%\Downloaded Program Files\JjedvMTDtPyqp9ZTrgw.Ttf
    %WinDir%\Downloaded Program Files\EpapzVpa3DRCkpPR.Ttf
    %System%\z6FVkEF47huPzgaXee.inf
    %System%\pEcFwPj48y6DADf87r.inf
    %System%\P6VyQtQJUYa3rFan7J.inf
    %System%\SrNRKs5F7Rkv9hp.inf
  4. Восстановить файл из дистрибутива операционной системы:
    %System%\verclsid.exe
  5. Удалить ключи системного реестра:
    [HKCR\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}
    \InprocServer32] [HKCR\CLSID\{E16EA4C8-040B-4A12-A0F5-783963AD665D}\InprocServer32]
    [HKCR\CLSID\{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}\InprocServer32]
  6. Удалить параметры ключа системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \ShellExecuteHooks] "{74DA2FEC-F68F-4DC7-9A45-9174AC044427}"=""
    "{E16EA4C8-040B-4A12-A0F5-783963AD665D}"=""
    "{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}"=""
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Bookmark and Share
Закладки
Trojan-GameThief

Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к сетевым играм. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.


Другие модификации

Другие названия

Trojan-GameThief.Win32.Magania.bwsr («Лаборатория Касперского») также известен как:

  • Trj/Lineage.LEN (Panda)
  • Trojan.PWS.Wsgame.13214 (DrWeb)
  • DeepScan:Generic.Onlinegames.14.7477B570 (BitDef7)
  • Trojan.DR.OnlineGames.Gen.118 (VirusBuster)
  • Win32:Agent-ACMH [Drp] (AVAST)
  • Trojan-PWS.Win32.LdPinch (Ikarus)
  • PSW.OnlineGames.2.AJ (AVG)
  • TR/Hijacker.Gen (AVIRA)
  • Trojan.Gen (NAV)
  • NseCheckFile2() returned 0x00010018 (Norman)
  • Trojan.DR.OnlineGames.Gen.118 (VirusBusterBeta)