Trojan-PSW.Win32.OnLineGames.lfi
Технические детали
Троянская программа. Является приложением Windows (PE-EXE файл). Имеет размер 123873 байта.
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\amvo.exe
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"amva" = "%System%\amvo.exe"
Извлекает из тела своего исполняемого файла следующий файл:
%System%\amvo0.dll
Данный файл имеет размер 44608 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.WOW.ahe.
Извлекает из тела своего исполняемого файла следующий файл:
%Temp%\<набор случайных символов>.dll
Данный файл имеет размер 31713 байт и детектируется Антивирусом Касперского как Trojan-GameThief.Win32.OnLineGames.mdl.Деструктивная активность
Троянец подгружает извлеченную библиотеку во все запущенные в системе процессы.
Перехватывает нажатия клавиш клавиатуры и мыши, если запущены следующие процессы:
maplestory.exe
wow.exe
Анализирует траффик идущий к следующим адресам:
216.107.***.53
216.107.***.51
216.107.***.52
Таким способом троянец пытается похитить информацию об учетных записях игроков следующих игр:
Maple Story
World of Warcraft
и некоторых других. Также троянец анализирует файлы настроек вышеупомянутых игр и пытается извлечь из них информацию об учетных записях игрока на игровых серверах.
Собранные данные отправляются на сайт злоумышленника.
Также троянец изменяет значения следующих параметров ключей системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"ShowSuperHidden" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"
Пытается завершить следующие процессы:
KAV
RAV
AVP
KAVSVC
Также троянец обладает функционалом червя, распространяющегося при помощи сменных носителей. Троянец копирует свой исполняемый файл в корень каждого раздела:
:\n1deiect.com
где, X – буква раздела.
Также вместе со своим исполняемым файлом троянец помещает в корень диска сопровождающий файл:
:\autorun.inf
который запускает исполняемый файл троянца, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Удалить файл:
%System%\amvo.exe
Перезагрузить компьютер
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить параметр в ключе системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"amva" = "%System%\amvo.exe"
Восстановить оригинальные параметры в ключах системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"ShowSuperHidden" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"
Удалить файл:
%System%\amvo0.dll
Очистить содержимое папки %Temp%
Удалить файлы со всех съемных дисков:
:\n1deiect.com
:\autorun.inf
где – буква диска.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (Скачать).