Virus Messenger - World of Warcraft und Wowpa-Trojaner
Der Wowpa-Trojaner kann World of Warcraft-Fans Schaden und Ärger zufügen, wenn er versucht, die Passwörter für dieses Spiel zu erhalten.
A Wow Der Hauptzweck des Trojaners besteht darin, die vertraulichen Informationen von World of Warcraft-Fans zu scannen. Dementsprechend nimmt es Änderungen am System vor, die es ihm ermöglichen, Tastenanschläge zu protokollieren. Der Trojaner wird aktiviert, wenn die Titelleiste des sich öffnenden Fensters den Text „World of Warcraft“ enthält oder ein wow.exe-Prozess auf dem infizierten System startet.
Neben vertraulichen Daten aus World of Warcraft sammelt der Wowpa-Trojaner gewissenhaft Systeminformationen, darunter:
- IP-Adresse und Hostname,
- Name des Spielservers,
- verschiedene spielbezogene Informationen.
Der Trojaner kann auch zusätzliche schädliche Dateien über das Internet herunterladen.
Wenn der Wowpa-Trojaner startet, führt er die folgenden Aktionen aus:
- Erstellen Sie die folgenden Dateien:
% System% \ Launcher.exe
% System% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Hilfe \ MSpass.exe
% System% \ mywow.dll
% System% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Hilfe \ MShook.dll - Folgende Einträge werden in die Registrierungsdatenbank aufgenommen:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Richtlinien \ Explorer \ Ausführen \ wow
= "%System%\Launcher.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"%System%\Server.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Ausführen \ MShelp =
„RUNDLL32.EXE% Windows%\BhoPlugin.dll, installieren“
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Ausführen \ ManagerHLP =
„RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll, installieren“ - Ändern Sie die folgenden Werte in der Registrierung:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
"% Windows% \ Hilfe \ MSpass.exe"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ObjectName = „LocalSystem“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Description = „mos“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ DisplayName = „MS Massacre“
HKLM \ System \ CurrentControlSet \ Dienste \ MSmassacre \ Enum \
0 „Wurzel \ LEGACY_MSMASSACRE \ 0000“
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Dienste \ MSmassacre \ Start = 0x2 - Es versucht, Benutzerinformationen für World of Warcraft zu erhalten. Dazu überwacht es ständig die Benutzeraktivität und überwacht alle Fenster, die eine „World of Warcraft“-Titelleiste haben oder zum wow.exe-Prozess gehören.
- Tastenanschläge protokollieren.
- Sammelt Systeminformationen.
- Es lädt eine schädliche Datei aus dem Internet herunter und speichert sie dann wie folgt:
% Temp% \ wowupdate.exe
