Seleziona pagina

Virus Messenger - World of Warcraft e Wowpa Trojan

Scritto da: | 2009 febbraio 13 | | 0 |

Il Trojan Wowpa può causare danni e fastidio ai fan di World of Warcraft mentre cerca di ottenere le password per questo gioco.

A wowpa L'obiettivo principale del Trojan è spiare i dati riservati dei fan di World of Warcraft. Di conseguenza, apporta modifiche al sistema che gli consentono di registrare le sequenze di tasti. Il trojan si attiva quando nella barra degli indirizzi della finestra che si apre compare il testo "World of Warcraft" oppure quando sul sistema infetto viene avviato un processo wow.exe.

Oltre ai dati riservati di World of Warcraft, il Trojan Wowpa raccoglie diligentemente informazioni di sistema, che possono includere:

  • indirizzo IP e nome host,
  • nome del server di gioco,
  • varie informazioni relative al gioco.

Il Trojan può anche scaricare file dannosi aggiuntivi su Internet.

 Reporter di virus - World of Warcraft e Wowpa Trojan

Quando Wowpa Trojan si avvia, esegue le seguenti azioni:

  1. Crea i seguenti file:
    % System% \ Launcher.exe
    % System% \ SVCH0ST.EXE
    % System% \ Server.exe
    % Windows% \ Aiuto \ MSpass.exe
    % System% \ mywow.dll
    % System% \ fsmgmt.dll
    % Temp% \ WowInitcode.dll
    % Temp% \ WowInitcode.dat
    % System% \ BhoPlugin.dll
    % System% \ WinHel.dll
    % Windows% \ Aiuto \ MShook.dll
  2. Le seguenti voci vengono aggiunte al database di registrazione:
    HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Esegui \ wow
    = “%System%\Launcher.exe”
    HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
    “%Sistema%\Server.exe”
    HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
    “RUNDLL32.EXE %Windows%\BhoPlugin.dll,Installa”
    HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
    “RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll,Installa”
  3. Modifica i seguenti valori nel registro:
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
    “%Windows%\help\MSpass.exe”
    HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = "LocalSystem"
    HKLM\System\CurrentControlSet\Services\MSmassacre\Description = "mos"
    HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = "MS Massacre"
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
    0 "Radice\LEGACY_MSMASSACRE\0000"
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
    HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2
  4. Tentativo di ottenere informazioni sull'utente per il gioco World of Warcraft. Per fare ciò, monitora costantemente l'attività dell'utente e controlla qualsiasi finestra che abbia il titolo "World of Warcraft" o appartenga al processo wow.exe.
  5. Registra le sequenze di tasti.
  6. Raccoglie informazioni di sistema.
  7. Scarica un file dannoso da Internet e poi lo salva come segue:
    % Temp% \ wowupdate.exe
Lettura: 1 434

Misurare:

Circa l'autore

Si aggrappa

Articoli correlati

Diablo III - requisito macchina ufficiale

Diablo III - requisito macchina ufficiale

2011-09-08

L'ultimo PCMark è in arrivo

L'ultimo PCMark è in arrivo

2007-10-03

AMD Radeon ReLive Edizione 17.5.1

AMD Radeon ReLive Edizione 17.5.1

2017-05-08

I file EXE sono infetti dal virus Hala

I file EXE sono infetti dal virus Hala

2008-06-09

bandiera

AcquistaBestGear

Anno Domini

ranvé

Elettrodomestici Ranvee