Riconosciuto Mar 15, 2007 10:03 GMT
Data di pubblicazione Mar 15, 2007 11:43 GMT
Edizione 26 set 2006 11:30 GMT
Dettagli tecnici
Questo Trojan è progettato per rubare le password degli utenti agli account sui server di WoW. La stessa Trojan è un file EXE di Windows PE, scritto in Delphi e confezionato utilizzando NsPack. Il file compresso è 136.069 byte, e il file è di circa 316Kb unpaced di dimensione.
Installazione
Una volta lanciato, il Trojan crea un file DLL nella directory C: \ root:
c: \ nxldr.dat
Quindi, lancia questo file e chiama la funzione "start":
Quando si lancia, le copie dei file DLL suo file eseguibile nella directory di sistema di Windows:
% System32% \ KB896425.log
Il Trojan crea un servizio chiamato Accesso in rete al fine di garantire che esso viene eseguito automaticamente ogni volta che Windows viene riavviato:
[HKLM \ System \ CurrentControlSet \ Services \ NetWorkLogon]
Carico utile
Quando si lancia il file DLL si ottiene un elenco di processi. E poi si carica per lo spazio di indirizzamento di un processo scelto a caso dall'elenco, nonché ai processi di seguito elencati:
EXPLORER.EXE IEXPLORE.EXE
dove il file DLL verrà installato un gancio per la funzione di invio di WS2_32.DLL che viene utilizzato per tenere traccia delle richieste HTTP dell'utente. Per le richieste POST in cui l'URL contiene la seguente stringa:
/ Vk / unblock_deal.php
il cavallo di Troia ottiene i valori dei seguenti parametri:
conto = pin =
Se l'URL contiene la stringa / dologin.php, il Trojan otterrà il valore dei parametri di seguito elencati:
loginname = & password =
Per i processi chiamati WOW.EXE il Trojan ottiene i valori riportati nelle caselle di dialogo, e prenderà anche gli screenshot di alcune finestre di dialogo.
Il Trojan invia le informazioni raccolte sul sito l'utente remoto malintenzionato.
Il Trojan cancellerà anche tutti i link contenenti la "the9.com" stringa dalla cache del browser.
Istruzioni per la rimozione
Utilizzare Task Manager per terminare il processo del Trojan.
Eliminare il file originale del Trojan (la sua posizione dipenderà da come esso è inizialmente penetrato la macchina della vittima).
Eliminare i file creati dal Trojan:
% System32% \ KB896425.log c: \ nxldr.dat
Eliminare le seguenti chiavi del Registro di sistema:
[HKLM \ System \ CurrentControlSet \ Services \ NetWorkLogon]
Aggiornare il database ed effettuare una scansione antivirus.
Fonte: http://www.securelist.com/
Nessun commento:
Posta un commento