Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияTrojan-PSW.Win32.OnLineGames.q

Trojan-PSW.Win32.OnLineGames.q

Время детектирования 20 ноя 2009 05:11 MSK
Время выпуска обновления 20 ноя 2009 10:15 MSK
Описание опубликовано 22 сен 2010 17:19 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, похищающая конфиденциальные данные пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 11816 байт. Упакована UPack. Распакованный размер – около 82 КБ. Написана на C++.

Инсталляция

После запуска троянец выполняет следующие действия:

  • копирует свое тело в файл: 
    %System%\kb<rnd>.dll
    где <rnd> – девятизначное десятичное число, сформированное на основании текущего системного времени.
  • создает в системе файлы: 
    %System%\drivers\jxsiekc.dat (1010 байт)
%System%\wsconfig.db (45 байт)
    В файл "wsconfig.db" записывается строка, содержащая полный путь к созданной копии троянца. Дописывает в файл системной библиотеки 
    %System%\imm32.dll
    секцию с именем ".ss32", содержащую исполняемый код, предназначенный для загрузки копии троянца "kb<rnd>.dll" в адресное пространство всех процессов, подгружающих данную библиотеку. При этом размер файла "imm32.dll" увеличивается на 1028 байт. Оригинальный файл библиотеки сохраняется как 
    %System%\imm32.dll.bak
  • Троянец содержит в своем теле хеш имени процесса, полученный при помощи алгоритма хеширования MD5, который сравнивает с хешами имен всех запущенных в системе процессов. Если хеши совпали, найденный процесс завершается.
  • Для удаления своего оригинального файла после завершения его работы создает сценарий командного интерпретатора 
    c:\del<rnd1>.bat
    где <rnd1> – случайное семизначное шестнадцатеричное число следующего содержания: 
    :Repeat
del "<полный путь к оригинальному файлу троянца>"
if exist "<полный путь к оригинальному файлу троянца>" goto Repeat
del "c:\del<rnd1>.bat"
  • Запускает созданный сценарий и завершает свою работу. При этом сам сценарий также удаляется.


Деструктивная активность

Устанавливая перехватчики на некоторые функции библиотеки "text.dll", подгруженной в адресное пространство процесса "jxonline.exe", троянец похищает конфиденциальную информацию пользователей онлайн игры "JX Online". Полученные данные отправляются в POST-запросе на сервер злоумышленника.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode» в меню загрузки Windows).
  2. Удалить файлы: 
    %System%\kb<rnd>.dll
%System%\drivers\jxsiekc.dat 
%System%\wsconfig.db 
%System%\imm32.dll
  3. Переименовать файл 
    %System%\imm32.dll.bak
    в "imm32.dll".
  4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Троянские программы
Trojan-PSW

Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware.

При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.

Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.

Примечание: Trojan-PSW, занимающиеся кражей банковских аккаунтов, аккаунтов к интернет-пейджерам, а также аккаунтов к компьютерным играм относятся к Trojan-Banker, Trojan-IM и Trojan-GameThief соответственно. В отдельные типы данные вредоносные программы выделены в силу их многочисленности.


Другие модификации
Trojan-PSW.Win32.OnLineGames.a

Другие названия

Trojan-PSW.Win32.OnLineGames.q («Лаборатория Касперского») также известен как:

  • Trojan: PWS-Mmorpg!ib (McAfee)
  • Troj/Virtum-Gen (Sophos)
  • Trojan.Patched-140 (ClamAV)
  • Trj/Lineage.LEW (Panda)
  • W32/Agent.L.gen!Eldorado (FPROT)
  • PWS:Win32/Frethog.AD (MS(OneCare))
  • Trojan.PWS.Gamania.22125 (DrWeb)
  • Win32/PSW.OnLineGames.OPK trojan (Nod32)
  • Generic.PWS.Games.4.14264249 (BitDef7)
  • Trojan.PWS.OnLineGames!jvKPY1Bc1TA (VirusBuster)
  • Win32:Vilsel-D [Trj] (AVAST)
  • Trojan-PWS.Win32.Small (Ikarus)
  • TR/Crypt.UPKM.Gen (AVIRA)
  • Infostealer.Gampass (NAV)
  • W32/Packed_Upack.H (Norman)
  • Trojan.PSW.Win32.DNFOnLine.fb (Rising)
  • Trojan-PSW.Win32.OnLineGames.q [AVP] (FSecure)
  • TSPY_FRETHOG.SMC (TrendMicro)
  • Trojan.Win32.Generic!BT (Sunbelt)
  • Trojan.PWS.OnLineGames!jvKPY1Bc1TA (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск