Trojan-Dropper.Win32.Agent.cpyu

Технические детали

Троянская программа, устанавливающая другие программы на компьютере пользователя без его ведома. Является приложением Windows (PE-EXE файл). Имеет размер 23552 байта. Упакована UPX. Распакованный размер – около 48 КБ. Написана на C++.

Деструктивная активность

После запуска троянец выполняет следующие действия:

• удаляет файл:

  %System%\msnpwbcf.dll

• Извлекает из своего тела файл, который сохраняется в системе как %System%\msnpwbcf.dll (36865 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.wyzg")
• Запускает системную утилиту "RUNDLL32.EXE" со следующими параметрами:

  rundll32.exe %System%\msnpwbcf.dll,w

  Таким образом, из извлеченной библиотеки вызывается функция с именем "w".
• Находит в системе окно с именем класса "GxWindowClassD3d" и закрывает его, посылая сообщение "WM_CLOSE".
• Создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается.

После этого троянец завершает свою работу.

Извлеченная библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого исполняемый код данной библиотеки внедряется в адресное пространство процесса "wow.exe", после чего информация, вводимая пользователем при входе в игру, будет отправляться злоумышленнику. При вызове функции "w" оригинальный файл троянской библиотеки будет скопирован в каталог игры "World of Warcraft" под именем "msvcr70.dll". Кроме того, будет выполнена модификация файла "wow.exe" для внедрения и выполнения кода троянской библиотеки. Также будет создан ключ системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"lkfnnc" = "RUNDLL32.EXE <полный путь к оригинальному 
файлу троянца>,w"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Завершить процесс "wow.exe".
2. Восстановить оригинальное содержимое файла "wow.exe" в каталоге игры "World of Warcraft".
3. Удалить файл "msvcr70.dll" в каталоге игры "World of Warcraft".
4. Удалить ключ системного реестра (как работать с реестром?):

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "lkfnnc" = "RUNDLL32.EXE <полный путь к оригинальному 
   файлу троянца>,w"
   

5. Удалить файл:

   %System%\msnpwbcf.dll

6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).