Virus Reporter - World of Warcraft et cheval de Troie Wowpa
Le cheval de Troie Wowpa peut causer du tort et de la gêne aux fans de World of Warcraft lorsqu'il essaie d'obtenir les mots de passe pour ce jeu.
A Ouah L'objectif principal du cheval de Troie est d'espionner les données confidentielles des fans de World of Warcraft. En conséquence, il apporte des modifications au système qui lui permettent d'enregistrer les frappes au clavier. Le cheval de Troie est activé lorsque le texte « World of Warcraft » apparaît dans la barre d'adresse de la fenêtre qui s'ouvre ou lorsqu'un processus wow.exe est lancé sur le système infecté.
En plus des données confidentielles de World of Warcraft, le cheval de Troie Wowpa collecte avec diligence des informations système, qui peuvent inclure :
- Adresse IP et nom d'hôte,
- nom du serveur de jeu,
- diverses informations liées au jeu.
Le cheval de Troie peut également télécharger des fichiers malveillants supplémentaires sur Internet.
Lorsque le cheval de Troie Wowpa démarre, il effectue les actions suivantes :
- Créez les fichiers suivants :
% System% \ Launcher.exe
% Système% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Aide \ MSpass.exe
% System% \ mywow.dll
% System% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Aide \ MShook.dll - Les entrées suivantes sont ajoutées à la base de données d'enregistrement :
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= « %Système%\Launcher.exe »
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"%Système%\Serveur.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
« RUNDLL32.EXE %Windows%\BhoPlugin.dll, Installer »
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
"RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll, Installer" - Modifiez les valeurs suivantes dans le registre :
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
« %Windows%\help\MSpass.exe »
HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = « LocalSystem »
HKLM\System\CurrentControlSet\Services\MSmassacre\Description = "mos"
HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = « MS Massacre »
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 « Racine\LEGACY_MSMASSACRE\0000 »
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Tentative d'obtenir des informations sur les utilisateurs du jeu World of Warcraft. Pour ce faire, il surveille en permanence l'activité de l'utilisateur et surveille toute fenêtre portant le titre "World of Warcraft" ou appartenant au processus wow.exe.
- Enregistrer les frappes.
- Collecte des informations système.
- Il télécharge un fichier malveillant sur Internet, puis l'enregistre comme suit :
% Temp% \ wowupdate.exe
