Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-PSW.Win32.OnLineGames.a

Trojan-PSW.Win32.OnLineGames.a

Время детектирования 14 сен 2007 16:18 MSK
Время выпуска обновления 27 июн 2008 22:06 MSK
Описание опубликовано 14 сен 2007 16:18 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 52738 байт. Написана на Visual Basic.

Инсталляция

При запуске троянец копирует свой исполняемый файл под различными именами в корневой и системный каталоги Windows:

%System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe

Троянец изменяет значения ключей реестра на следующие:

[HKCR\.bfc\ShellNew]
"Command" = "%System%\rundll32.com
%System%\syncui.dll,Briefcase_Create %2!d! %1"

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Check_Associations" = "No"

[HKCR\cplfile\shell\cplopen\command]
@ = "rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"

[HKCR\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

[HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
@ = "%System%\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

[HKCR\Drive\shell\find\command]
@ = "%WinDir%\explorer.com"

[HKCR\ftp\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com\" %1"

[HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@ = "%Program Files%\Internet Explorer\iexplore.com"

[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"

[HKCR\htmlfile\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com -nohome"

[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\Common Files\iexplore.pif -nohome"

[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"

[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKCR\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"

[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"

[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"

[HKCR\inffile\shell\Install\command]
@ = "%System%\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

[HKCR\HTTP\shell\open\command]
@ = "%Program Files%\common~1\iexplore.pif -nohome"

[HKCR\Applications\iexplore.exe\shell\open\command]
@ = "%Program Files%\Internet Explorer\iexplore.com %1"

[HKCR\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@ = "finder.com shdocvw.dll,OpenURL %l"

[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
@ = "rundll32.com %System%\mshtml.dll,PrintHTML %1"

[HKCR\.lnk\ShellNew]
"Command" = "rundll32.com appwiz.cpl,NewLinkHere %1"

[HKCR\Unknown\shell\openas\command]
@ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

[HKCR\htmlfile\shell\opennew\command]
@ = "%Program Files%\Common Files\iexplore.pif %1"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = "%WinDir%\WINLOGON.EXE"

[HKCR\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"

[HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
@ = "finder.com desk.cpl,InstallScreenSaver %l"

[HKCR\scriptletfile\Shell\Generate Typelib\command]
@ = "%System%\finder.com %System%\scrobj.dll,GenerateTypeLib %1"

[HKCR\telnet\shell\open\command]
@ = "finder.com url.dll,TelnetProtocolHandler %l"

Таким образом, троянская программа будет запускаться каждый раз при попытке открытия пользователем файлов некоторых типов, запуске различных приложений, открытии логических дисков при помощи «Проводника» Windows, вызове интернет-ярлыков или веб-ссылок.


Деструктивная активность

В случае если на зараженном компьютере запущена онлайн-игра «World of Warcraft», троянец определяет, откуда был запущен процесс «wow.exe», и считывает содержимое следующих файлов в рабочей папке игрового клиента:

realmlist.wtf
update.ini

Также троянец следит за клавиатурным вводом пользователя на следующих интернет-страницах:

eu.logon.worldofwarcraft.com
tw.logon.worldofwarcraft.com
us.logon.worldofwarcraft.com

Троянец ищет в системе процесс с именем «woool.exe», определяет, откуда тот был запущен и считывает содержимое следующих файлов в рабочей папке программы:

\data\woool.dat
\data\game.ini
\data\*.update
update.lib.scf
\data\WOOOL88.DAT
\data\WOOOLe88.DAT

Собранную информацию троян отсылает на сайт злоумышленника.

Также троянская программа завершает процессы, которые содержат в своих именах следующие строки:

RAVMON
TROJDIE
KPOP
CCENTER
ASSISTSE
KPFW
AGENTSVR
KV
KREG
IEFIND
IPARMOR
SVI.EXE
UPHC
RULEWIZE
FYGT
RFWSRV
RFWMA
TROJAN
MMSK

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. При помощи «Диспетчера задач» завершить троянский процесс (возможное имя процесса — «WINLOGON.EXE»).
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Установить необходимые значения следующих параметров ключей системного реестра (замены выделены жирным шрифтом):

    [HKCR\.bfc\ShellNew]
    "Command" = "%System%\rundll32.exe
    %System%\syncui.dll,Briefcase_Create %2!d! %1"

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    "Check_Associations" = "Yes"

    [HKCR\cplfile\shell\cplopen\command]
    @ = "rundll32.exe shell32.dll,Control_RunDLL \"%1\",%*"

    [HKCR\dunfile\shell\open\command]
    @ = "%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

    [HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
    @ = "%System%\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

    [HKCR\Drive\shell\find\command]
    @ = "%WinDir%\explorer.exe"

    [HKCR\ftp\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe\" %1"

    [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe"

    [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe -nohome"

    [HKCR\htmlfile\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe -nohome"

    [HKCR\inffile\shell\Install\command]
    @ = "%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

    [HKCR\HTTP\shell\open\command]
    @ = "%Program Files%\Common Files\iexplore.exe -nohome"

    [HKCR\Applications\iexplore.exe\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe %1"

    [HKCR\InternetShortcut\shell\open\command]
    @ = "rundll32.exe shdocvw.dll,OpenURL %l"

    [HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
    @ = "rundll32.exe shdocvw.dll,OpenURL %l"

    [HKCR\htmlfile\shell\print\command]
    @ = "rundll32.exe %System%\mshtml.dll,PrintHTML %1"

    [HKCR\.lnk\ShellNew]
    "Command" = "rundll32.exe appwiz.cpl,NewLinkHere %1"

    [HKCR\Unknown\shell\openas\command]
    @ = "%System%\finder.com %System%\shell32.dll,OpenAs_RunDLL %1"

    [HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
    @ = "%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"

    [HKCR\htmlfile\shell\opennew\command]
    @ = "%Program Files%\Common Files\iexplore.exe %1"

    [HKCR\inffile\shell\Install\command]
    @ = "%System%\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

    [HKCR\HTTP\shell\open\command]
    @ = "%Program Files%\common~1\iexplore.exe -nohome"

    [HKCR\Applications\iexplore.exe\shell\open\command]
    @ = "%Program Files%\Internet Explorer\iexplore.exe %1"

    [HKCR\InternetShortcut\shell\open\command]
    @ = "rundll32.exe shdocvw.dll,OpenURL %l"

    [HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
    @ = "rundll32.exe shdocvw.dll,OpenURL %l"

    [HKEY_CLASSES_ROOT\htmlfile\shell\print\command]
    @ = "rundll32.exe %System%\mshtml.dll,PrintHTML %1"

    [HKCR\.lnk\ShellNew]
    "Command" = "rundll32.exe appwiz.cpl,NewLinkHere %1"

    [HKCR\Unknown\shell\openas\command]
    @ = "%System%\rundll32.exe %System%\shell32.dll,OpenAs_RunDLL %1"

    [HKCR\htmlfile\shell\opennew\command]
    @ = "%Program Files%\Common Files\iexplore.exe %1"

    [HKCR\scrfile\shell\install\command]
    @ = "rundll32.exe desk.cpl,InstallScreenSaver %l"

    [HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
    @ = "rundll32.exe desk.cpl,InstallScreenSaver %l"

    [HKCR\scriptletfile\Shell\Generate Typelib\command]
    @ = "%System%\rundll32.exe %System%\scrobj.dll,GenerateTypeLib %1"

    [HKCR\telnet\shell\open\command]
    @ = "rundll32.exe url.dll,TelnetProtocolHandler %l"

  4. Удалить параметр из ключа системного реестра: 
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program" = "%WinDir%\WINLOGON.EXE"
  5. Удалить файлы: 
    %System%\rundll32.com
%System%\finder.com
%System%\command.pif
%WinDir%\WINLOGON.EXE
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
%WinDir%\explorer.com
%WinDir%\1.com
%WinDir%\ExERoute.exe
%System%\MSCONFIG.COM
%System%\dxdiag.com
%System%\regedit.com
%WinDir%\Debug\DebugProgram.exe
  6. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-PSW

Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.

При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.

Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.


Другие модификации
Trojan-PSW.Win32.OnLineGames.q

Другие названия

Trojan-PSW.Win32.OnLineGames.a («Лаборатория Касперского») также известен как:

  • Mal/EncPk-CE (Sophos)
  • Trojan.Spy-43973 (ClamAV)
  • W32/Lineage.GUF.worm (Panda)
  • W32/OnlineGames.AF.gen!Eldorado (FPROT)
  • Worm:Win32/Taterf.gen!C (MS(OneCare))
  • Trojan.Nsanti.Packed (DrWeb)
  • Packer.Malware.NSAnti.1 (BitDef7)
  • Trojan.Lineage.Gen!Pac.3 (VirusBuster)
  • Worm.Win32.Taterf.F (Ikarus)
  • Mal_NSAnti-1 (PCCIL)
  • Packer.Win32.Mian007.a (Rising)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск