Понедельник, 01.12.2025, 20:55

Wiki_Xaker - Учитесь Жить В Компьютере

Главная | Регистрация | Вход | RSS
Меню сайта
Категории раздела
Игровые навыки (хакер) [19]
Много интересного для хакеров.
Разбираем компьютер [17]
Учимся пользоваться компьютером.
Знание интернета [0]
Форма входа
Мини-чат
300
Наш опрос
Оцените мой сайт
Результаты | Архив опросов
Всего ответов: 11
Поиск
Друзья сайта
  • Игры и многое другое
  • Читы, трейнеры и save файлы!
  • Общайся!
    • Обнови Версии Программ
    Отправь Смс




    www.ucozon.ru
    Скачай CS
    Главная » Статьи » Век живи, век учись! (Пословица) » Игровые навыки (хакер)
    Вирусы крадущие пароли от World of Warcraft

    Trojan-GameThief.Win32.OnLineGames.xesa

    Время детектирования 06 окт 2010 06:11 MSK
    Время выпуска обновления 07 окт 2010 09:45 MSK
    Описание опубликовано 08 фев 2011 17:28 MSK

    Технические детали
    Деструктивная активность
    Рекомендации по удалению


    Технические детали

    Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE DLL-файл). Имеет размер 36865 байт. Написана на C++.

    Деструктивная активность

    Троянская библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого библиотека внедряется в адресное пространство процесса "wow.exe", после чего в системе находится окно с именем класса "GxWindowClassD3d" и заголовком "World of Warcraft". Из данного окна похищается информация, вводимая пользователем при входе в on-line игру. Собранная информация передается в виде параметров на следующий URL: 

    http://w.per***exe.com:888/houmen/wow.asp
    Библиотека экспортирует функцию с именем "AR", при вызове которой создается ключ системного реестра: 
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному 
    файлу троянца>,w"
    Таким образом, при каждом следующем старте системы посредством системной утилиты "RUNDLL32.EXE" из троянской библиотеки будет вызываться функция с именем "w". При вызове экспортируемой функции "w" выполняются следующие действия:
    • тело троянца копируется в файл: 
      \msvcr70.dll
      Значение подстроки "" считывается из ключа системного реестра: 
      [HKLM\Software\Blizzard Entertainment\World of Warcraft]
      "GamePath"
    • В файл 
      \wow.exe
      дописывается секция ".ngaut", содержащая код для внедрения библиотеки "\msvcr70.dll" в адресное пространство данного процесса. При этом точка входа "wow.exe" изменяется и указывает на код в дописанной секции.
    • Устанавливается хук-процедура, позволяющая отслеживать сообщения в системной очереди.
    • Создается ключ системного реестра: 
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
      "edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному 
      файлу троянца>,w"

    Рекомендации по удалению

    Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

    1. Завершить процесс "wow.exe".
    2. Восстановить оригинальное содержимое файла: 
      \wow.exe
    3. Удалить файлы: 
      \msvcr70.dll
    4. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
    5. Удалить ключ системного реестра (http://wikixaker.at.ua/publ/vek_zhivi_vek_uchis_poslovica/razbiraem_kompjuter/sistemnyj_reestr/3-1-0-21): 
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
      "edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному файлу 
      троянца>,w"


    Источник: http://www.securelist.com/ru/descriptions/15525758/Trojan-GameThief.Win32.OnLineGames.xesa
    Категория: Игровые навыки (хакер) | Добавил: Counet-Terorist-SAS (13.02.2011)
    Просмотров: 1050 | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]