Trojan-GameThief.Win32.Magania.dlip

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE-EXE файл). Имеет размер 116736 байт. Упакована при помощи ASPack. Распакованный размер – около 254 КБ. Написана на С++.

Инсталляция

После запуска создает копию своего исполняемого файла во временном каталоге текущего пользователя Windows:

%Temp%\dsoqq.exe

Для автоматического запуска при каждом следующем старте системы добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"dso32" = "%Temp%\dsoqq.exe"

Деструктивная активность

В зависимости от наличия запущенного процесса "AVP.exe" троянец извлекает из своего тела вредоносный драйвер. Если "AVP.exe" был обнаружен сохраняет драйвер под именем "cdaudio.sys", в противном случае - "klif.sys":

%System%\drivers\klif.sys
%System%\drivers\cdaudio.sys

Данный файл имеет размер 10112 байт.

Для запуска на исполнение вредоносного драйвера создает службу с именем "KAVsys" или "AVPsys". При этом добавляет следующую информацию в ключ системного реестра:

[HKLM\System\CurrentControlSet\Services\KAVsys]
"ImagePath" = "\\??\\%System%\drivers\klif.sys"
"ErrorControl" = "1"
"Start" = "3"
"Type" = "1"

или

[HKLM\System\CurrentControlSet\Services\KAVsys]
"DisplayName" = "AVPsys"
"ImagePath" = "\\??\\%System%\drivers\cdaudio.sys"
"ErrorControl" = "1"
"Start" = "3"
"Type" = "1"

После запуска драйвера удаляет созданный ключ реестра и файл драйвера:

[HKLM\System\CurrentControlSet\Services\KAVsys]

%System%\drivers\klif.sys
%System%\drivers\cdaudio.sys

Драйвер используется троянцем для сокрытия своих вредоносных действий во время работы в сети Интернет.

Для обхода защитных и антивирусных механизмов системы получает оригинальную копию таблицы дескрипторов KeServiceDescriptorTable. Определяет установленный в системе язык, прочитав значение параметра "InstallLanguage" ключа реестра:

[HKLM\SYSTEM\CurrentControlSet\Control\NLS\Language]

Если язык отличался от китайского, тогда троянец создает уникальный идентификатор с именем

MN_XADLEBCBAXCSDFGEWQCDDD0

и выполняет поиск процесса с именем "livesrv.exe" (BitDefender Security Update Service). При обнаружении процесса находит месторасположение исполняемого файла и перемещает из данного каталога все исполняемые файлы ("exe") и файлы библиотек ("dll") с их оригинальными именами, добавляя новое расширение "vcd" в корневой каталог диска "C:\". Также троянец ищет процесс:

RavMon.exe

Если процесс найден, ищет окна с именем класса "#32770" и закрывает их. Пытается завершить процессы:

Nod32Kui.exe
FilMsg.exe
Twister.exe

Троянец извлекает из своего тела вредоносную библиотеку с именем "dsoqq<rnd>.dll", где <rnd> - число заражений компьютера пользователя:

%Temp%\dsoqq<rnd>.dll

Данный файл имеет размер 76288 байт и детектируется антивирусом Касперского как Trojan-GameThief.Win32.Magania.dlio (MD5:234e95554c1a96b482f3338c5a6b3ff7). Выполняет внедрение извлеченной библиотеки в адресное пространство процесса "explorer.exe". После этого троянец удаляет свое оригинальное тело и завершает свое выполнение.

Вредоносная библиотека может подгружаться во все запущенные процессы. Может выполнять следующие действия, в зависимости от имени процесса, в который она внедрена:

• Блокирует службу обновления антивируса Касперского путем модификации файла "PrUpdate.ppl", а также противодействует выполнению обновления следующих антивирусов:

  ALYac
  Avast
  AVG
  Antivir Guard
  McAfee 
  Norton Security Suite
  NOD32
  Symantec 
  Spyware Doctor Internet Security
  Trend Micro Internet Security
  Virus Chaser
  

• Похищает конфиденциальные данные из учетных записей пользователя для следующих игр:

  World of Warcraft
  MapleStory
  Knight Online
  Silkroad Online
  Cabal Online
  Metin2
  Dofus
  Guild Wars
  Aion
  Dungeon Fighter Online
  Seal Online
  Lineage 2
  AIKA Online
  Wonderland Online
  MU Online
  

  Для получения данных анализирует файлы настроек, память процессов а также Интернет трафик.
• Анализирует трафик, идущий к следующим адресам:

  203.***.173
  203.***.174
  203.***.175
  203.***.176
  203.***.169
  203.***.170
  203.***.171
  203.***.172
  203.***.165
  203.***.166
  203.***.167
  203.***.168
  203.***.161
  203.***.162
  203.***.163
  203.***.164
  203.***.157
  203.***.158
  203.***.159
  203.***.160
  203.***.153
  203.***.154
  203.***.155
  203.***.156
  203.***.149
  203.***.150
  203.***.151
  203.***.152
  203.***.145
  203.***.146
  203.***.147
  203.***.148
  203.***.141
  203.***.142
  203.***.143
  203.***.144
  213.***.189
  213.***.188
  213.***.134
  213.***.85
  213.***.148
  213.***.144
  213.***.150
  213.***.182 
  213.***.186
  213.***.149
  213.***.165
  213.***.183
  213.***.187
  213.***.141
  213.***.155
  213.***.142
  213.***.145
  213.***.164
  213.***.132
  38.***.209
  38.***.213
  38.***.217
  38.***.221
  38.***.227
  38.***.232
  38.***.237
  38.***.242
  202.***.11
  202.***.12
  202.***.13
  202.***.14
  202.***.15
  202.***.21
  202.***.22
  202.***.23
  202.***.24
  202.***.31
  202.***.32
  202.***.33
  202.***.34
  203.***.106
  203.***.107
  216.***.136
  206.***.163
  206.***.165
  206.***.131
  216.***.130
  216.***.133
  206.***.130
  206.***.162
  202.***.70
  202.***.130
  202.***.131
  202.***.132
  202.***.133
  202.***.134
  202.***.124
  202.***.125
  202.***.126
  202.***.127
  202.***.129
  202.***.105
  202.***.53
  202.***.55
  202.***.114
  202.***.135
  202.***.118
  202.***.119
  202.***.120
  202.***.121
  202.***.128
  202.***.72
  202.***.51
  202.***.52
  202.***.71
  202.***.115
  4.***.68
  4.***.69
  4.***.70
  4.***.71
  4.***.72
  4.***.73
  202.***.161
  202.***.163
  202.***.165
  202.***.110
  202.***.112
  202.***.114
  202.***.119
  202.***.121
  202.***.123
  202.***.49
  202.***.51
  202.***.54
  

• Троянец выполняет загрузку файлов со следующих URL.

  http://www.b***lop.com/1mg/am1.rar
  http://www.b***ksw.com/1mg/am.rar
  http://www.b***ksw.com/1mg/am1.rar
  

  По данным URL могут находиться ссылки или вредоносные файлы в зашифрованном виде. Загруженные файлы сохраняет во временном каталоге текущего пользователя Windows, расшифровывает их, после чего запускает на исполнение:

  %Temp%\am1.rar
  %Temp%\am.rar
  

  На момент создания описания загружался файл размером 196096 байт и детектирующийся антивирусом Касперского как Trojan-GameThief.Win32.Taworm.gym.
• Для скрытия файлов с атрибутами "Скрытый", "Системный" при использовании "Проводника Windows" создает следующие параметры в ключах системного реестра:

  [HKСU\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced]
  "Hidden" = "2"
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced]
  "ShowSuperHidden" = "0"
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced\Folder\Hidden\SHOWALL]
  "CheckedValue" = "0"
  

• Разрешает автозапуск приложений со сменных носителей, добавляя следующее значение параметра ключа системного реестра:

  [HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NoDriveTypeAutoRun" = "91"
  

• Создает ключи реестра:

  [HKCR\CLSID\MADOWN]
  "urlinfo"="dswdfre.q"
  
  [HKLM\Software\Classes\CLSID\MADOWN]
  "urlinfo"="dswdfre.q"
  

• Для автоматического запуска при каждом следующем старте системы добавляет ссылку на файл троянца в ключ автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "dso32" = "%Temp%\dsoqq.exe"
  

• Добавляет в список исключений NOD32 маску домена, с которого выполняет загрузку файлов:

  [HKLM\Software\ESET\ESET Security\CurrentVersion\
  Plugins\01000200
  \Profiles\@My profile\UrlSets\Node_00000000]
  "Masks"="*www*|www.baidulop.com*"
  

• Похищенные данные отправляются на сайты злоумышленника в параметрах HTTP-запросов по следующим адресам:

  http://go***el6s.com/y2y3/mfg/lin.asp
  http://go***el6s.com/y2y3/mwo/lin.asp
  http://go***el6s.com/y2y3/mqs/lin.asp
  http://go***el6s.com/y2y3/msl/lin.asp
  http://go***el6s.com/y2y3/ohs/lin.asp
  http://go***el6s.com/y2y3/myt/lin.asp
  http://go***el6s.com/y2y3/xfg/lin.asp
  http://go***el6s.com/y2y3/tjt/lin.asp
  http://go***el6s.com/y2y3/odo/lin.asp
  http://go***el6s.com/y2y3/ofg/lin.asp
  http://go***el6s.com/y2y3/mjz/lin.asp
  http://go***el6s.com/y2y3/yhz/lin.asp
  http://go***el6s.com/y2y3/mnf/lin.asp
  http://go***el6s.com/y2y3/txw/lin.asp
  http://go***el6s.com/y2y3/mtt/lin.asp
  http://go***el6s.com/y2y3/lyt/lin.asp
  http://go***el6s.com/y2y3/yyt/lin.asp
  http://go***el6s.com/y2y3/eyh/lin.asp
  http://go***el6s.com/y2y3/mjt/lin.asp
  http://go***el6s.com/y2y3/nyt/lin.asp
  http://go***el6s.com/y2y3/mai/lin.asp
  http://go***el6s.com/y2y3/ttd/lin.asp
  

• Осуществляет процедуру заражения логических дисков компьютера пользователя.

Распространение

Вредоносная библиотека копирует тело троянца на все доступные для записи логические диски компьютера пользователя со следующим именем:

<X>:\g6jk.exe

Где <X> – буква логического диска.

Вместе со своей копией помещает в корневой каталог зараженного диска файл:

<X>:\autorun.inf

Данный файл имеет размер 55 байт и предназначен для автоматического запуска на исполнение файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник". При этом файлам устанавливает атрибуты "скрытый" и "системный".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи Диспетчера задач завершить процессы:

   explorer.exe

2. Удалить файлы:

   %Temp%\dsoqq<rnd>.dll
   %Temp%\am1.rar
   %Temp%\am.rar
   %Temp%\dsoqq.exe
   <X>:\g6jk.exe
   <X>:\autorun.inf
   

3. Удалить параметр ключа системного реестра:

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "dso32" = "%Temp%\dsoqq.exe"
   

4. Удалить ключи системного реестра:

   [HKLM\Software\Classes\CLSID\MADOWN]
   [HKCR\CLSID\MADOWN]
   

5. Очистить каталог Temporary Internet Files:

   %Temporary Internet Files%

6. При необходимости восстановить значения параметров ключей реестра:

   [HKСU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced]
   "Hidden" = "2"
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced]
   "ShowSuperHidden" = "0"
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\Folder\Hidden\SHOWALL]
   "CheckedValue" = "0"
   [HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Explorer]
   "NoDriveTypeAutoRun" = "91"
   [HKLM\Software\ESET\ESET Security\CurrentVersion\Plugins\
   01000200
   \Profiles\@My profile\UrlSets\Node_00000000]
   "Masks"="*www*|www.baidulop.com*"
   на следующие:
   [HKСU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced]
   "Hidden" = "1"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced]
   "ShowSuperHidden"= "1"
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\Folder\Hidden\SHOWALL]
   "CheckedValue" = "1"
   [HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Explorer]
   "NoDriveTypeAutoRun" = "255"
   [HKLM\Software\ESET\ESET Security\CurrentVersion\Plugins\
   01000200
   \Profiles\@My profile\UrlSets\Node_00000000]
   "Masks" = ""
   

7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 116736 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dsoqq.exe

Создает следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dsoqq0.dll (­детектируется антивирусом Касперского как­ Trojan-GameThief.Win32.Magania.dlio)

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "dso32" = " Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dsoqq.exe"

Вредоносная активность

Внедряет свой код в следующие процессы:

• explorer.exe

Модифицирует (удаляет) системные файлы ОС Windows:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\cdaudio.sys

С целью защиты от сетевых экранов и антивирусов ищет окна сообщений:

Класс:	AVP.AlertDialog
Класс:	AVP.Product_Notification

и путем нажатия на соответствующие кнопки разрешает программе запрашиваемое действие

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.*

Прочие действия

Устанавливает следующие системные службы (драйвера):

Имя службы:	AVPsys
Отображаемое имя службы:	AVPsys
Параметры запуска:	Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\cdaudio.sys
Тип запуска:	­по требованию­

Изменяет состояние следующих системных служб:

Имя службы:	AVPsys
Отображаемое имя службы:	AVPsys
Параметры запуска:	Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\cdaudio.sys

Удаляет следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dsoqq.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\dsoqq0.dll