RSS-каналы
Уровень опасности: 1
Trojan-GameThief.Win32.Magania.bwsr
| Время детектирования | 25 авг 2009 22:53 MSK |
| Время выпуска обновления | 26 авг 2009 03:04 MSK |
| Описание опубликовано | 12 ноя 2009 19:08 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE EXE-файл). В зависимости от версии имеет размер от 24708 до 48252 байт. Некоторые версии программы упакованы при помощи UPX. Написана на С++.
Деструктивная активность
После запуска троянец извлекает из своего тела файл и устанавливает ему атрибуты "скрытый" и "системный", имя файла зависит от версии троянца и может быть одним из следующих:
%WinDir%\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf %WinDir%\Downloaded Program Files\eVaMpZ3AmmmbCPjX.Ttf %WinDir%\Downloaded Program Files\JjedvMTDtPyqp9ZTrgw.Ttf %WinDir%\Downloaded Program Files\EpapzVpa3DRCkpPR.TtfДанные файлы могут иметь размер от 196 до 212 байт и не являются вредоносными. Содержимое извлеченного файла троянец дописывает в конец извлекаемой в дальнейшем библиотеки.
После этого троянец извлекает из своего тела библиотеку с именем, зависящим от модификации вредоноса, которой также устанавливает атрибуты "скрытый" и "системный". Имя извлеченной библиотеки может быть одним из следующих:
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.cces.
%System%\pEcFwPj48y6DADf87r.inf - 17920 байт,
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.cabi.
%System%\P6VyQtQJUYa3rFan7J.inf - 16984 байта,
детектируется антивирусом Касперского
как rojan-GameThief.Win32.Magania.bzvn.
%System%\SrNRKs5F7Rkv9hp.inf - 17920 байт,
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.bwyu.
Троянец содержит в своем теле хеш процесса, полученного с помощью алгоритма хеширования MD5, который сравнивает с хешами имен всех запущенных на компьютере пользователя процессов, если хеши совпали, тогда троянец завершает соответствующий процесс.
Также троянец удаляет системный файл, предназначенный для проверки расширений оболочки перед тем как они пропишутся в Windows Shell или Windows Explorer:
%System%\verclsid.exeПосле этого троянец записывает следующую информацию в ключи системного реестра для автоматического запуска извлеченной ранее библиотеки. В зависимости от модификации троянца, ключи автозапуска могут быть следующие:
"(default)" = "%System%\z6FVkEF47huPzgaXee.inf"
"ThreadingModel" = "Apartment"
[HKCR\CLSID\{E16EA4C8-040B-4A12-A0F5-783963AD665D}\InprocServer32]
"(default)" = "%System%\P6VyQtQJUYa3rFan7J.inf"
"ThreadingModel" = "Apartment"
[HKCR\CLSID\{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}\InprocServer32]
"(default)" = "%System%\pEcFwPj48y6DADf87r.inf"
"ThreadingModel" = "Apartment"
[HKCR\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32]
"(default)" = "%System%\SrNRKs5F7Rkv9hp.inf"
"ThreadingModel" = "Apartment"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
"{74DA2FEC-F68F-4DC7-9A45-9174AC044427}"=""
"{E16EA4C8-040B-4A12-A0F5-783963AD665D}"=""
"{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}"=""
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить троянский процесс.
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%WinDir%\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf %WinDir%\Downloaded Program Files\eVaMpZ3AmmmbCPjX.Ttf %WinDir%\Downloaded Program Files\JjedvMTDtPyqp9ZTrgw.Ttf %WinDir%\Downloaded Program Files\EpapzVpa3DRCkpPR.Ttf %System%\z6FVkEF47huPzgaXee.inf %System%\pEcFwPj48y6DADf87r.inf %System%\P6VyQtQJUYa3rFan7J.inf %System%\SrNRKs5F7Rkv9hp.inf
- Восстановить файл из дистрибутива операционной системы:
%System%\verclsid.exe
- Удалить ключи системного реестра:
[HKCR\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}
\InprocServer32] [HKCR\CLSID\{E16EA4C8-040B-4A12-A0F5-783963AD665D}\InprocServer32]
[HKCR\CLSID\{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}\InprocServer32] - Удалить параметры ключа системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks] "{74DA2FEC-F68F-4DC7-9A45-9174AC044427}"=""
"{E16EA4C8-040B-4A12-A0F5-783963AD665D}"=""
"{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}"="" - Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к сетевым играм. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Trojan-GameThief.
- Trj/Lineage.
LEN (Panda) - Trojan.
PWS. Wsgame. 13214 (DrWeb) - DeepScan:
Generic. Onlinegames. 14. 7477B570 (BitDef7) - Trojan.
DR. OnlineGames. Gen. 118 (VirusBuster) - Win32:
Agent-ACMH [Drp] (AVAST) - Trojan-PWS.
Win32. LdPinch (Ikarus) - PSW.
OnlineGames. 2. AJ (AVG) - TR/Hijacker.
Gen (AVIRA) - Trojan.
Gen (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Trojan.
DR. OnlineGames. Gen. 118 (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».