Trojan.Win32.Scar.cnsw

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 30720 байт. Упакована UPX. Распакованный размер – около 51 КБ. Написана на C++.

Инсталляция

После запуска троянец находит в системе процесс "SVCH0SAT.EXE" и завершает его. Также удаляется файл:

%System%\SVCH0SAT.EXE

После этого тело троянца копируется в файл:

%System%\SVCH0SAT.EXE

Затем созданная копия запускается на выполнение.

Для автоматического запуска созданной копии при каждом следующем старте системы создается ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SVCH0SAT" = "%System%\SVCH0SAT.EXE"

Для удаления своего оригинального файла после завершения его работы троянец запускает системный командный интерпретатор "CMD.EXE" с параметрами:

/c del "<полный путь к оригинальному файлу троянца>"

После этого троянец завершает свою работу.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• для контроля уникальности своего процесса в системе создает уникальный идентификатор с именем:

  SVCH0SAT

• Находит в системе и пытается удалить файл:

  %System%\imetlbb.dll

  Если файл найден, а удалить его не удается, то троянец завершает свою работу.
• Извлекает из своего тела файлы, которые сохраняются в системе как

  %System%\imetlbb.dll

  (20480 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bnqf")

  %WinDir%\imetlws.exe

  (18919 байт; детектируется Антивирусом Касперского как "Backdoor.Win32.PcClient.ecqh")
• Запускает на выполнение извлеченный файл "imetlws.exe".
• Находит в системе окно с именем класса "TianLongBaBu WndClass" и завершает процесс, соответствующий данному окну.
• Запускает параллельно выполняющийся поток, осуществляющий в цикле каждые 2 секунды поиск в системе окна с именем класса "TianLongBaBu WndClass", и внедрение в адресное пространство создавшего данное окно процесса исполняемого кода извлеченной ранее библиотеки "imetlbb.dll". Данная библиотека реализует функционал кражи паролей и другой конфиденциальной информации пользователей игры "TianLongBaBu".
• В другом параллельно выполняющемся потоке троянец отправляет данные, собранные при помощи описанной библиотеки, в HTTP-запросе на сервер злоумышленника:

  http://113.***.161:3366/i.asp

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процесс "SVCH0SAT.EXE".
2. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "SVCH0SAT" = "%System%\SVCH0SAT.EXE"
   

3. Завершить процесс игры "TianLongBaBu".
4. Удалить файлы:

   %System%\imetlbb.dll 
   %WinDir%\imetlws.exe 
   

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan-GameThief. Похищает конфиденциальную информацию из игр

Технические детали

Имеет размер 47616 байт.

Вредоносная активность

Похищает Вредоносная программа, предназначенная для кражи аккаунтов (логин и пароль) и иной информации для доступа к многопользовательским играм. Похищенная информация передается злоумышленнику при помощи электронной почты, ftp, web и других способов. Похищенные данные используются злоумышленником для кражи виртуальной собственности игрока и в других мошенничествах.
Подробнее можно прочитать здесь: http://www.viruslist.com/ru/analysis?pubid=204007565конфиденциальную информацию пользователя из следующих игр:

• Tianlongbabu

Прочие действия

Производит запуск следующих файлов (команд):

• Дщ\12~gagad2.bat

Удаляет следующие файлы на зараженном компьютере:

• <­путь к исходной программе­><­файл исходной программы­>
• Дщ\12SVCH0SAT.EXE