Hack and Secure
Главная
Вход
Регистрация
Суббота, 11.07.2026, 02:46Приветствую Вас Бомж | RSS
Меню

Категории
BugTrack [80]
Bug's and exploits
Malware [27]
Worms, viruses, trojans and other...
ITNews [4]
All IT news from all the world
Взлом [13]
Hacked site's
OpenSource [0]
OpenSource news
Патчи и Обновления [1]
Патчи и Обновления разного рода софта
ALERT [2]
Суд над хакерами
Google [2]
Новости от Google
Hack Attack's [2]
Новости о новых и не очень видов атак
Статистика [6]
Статистика от ведущих компаний по безопасность
ПО [0]
Мелкософт, яблочные, пингвины и мобильное ПО
Soft [0]
All kind of software
SEONews [0]
SEONews
Новости сайта [0]
Новости нашего портала

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Вход

Главная » 2011 » Июнь » 14 » Trojan-GameThief.Win32.OnLineGames.xesa
15:59
Trojan-GameThief.Win32.OnLineGames.xesa

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Программа является приложением Windows (PE DLL-файл). Имеет размер 36865 байт. Написана на C++.


Деструктивная активность

Троянская библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft". Для этого библиотека внедряется в адресное пространство процесса "wow.exe", после чего в системе находится окно с именем класса "GxWindowClassD3d" и заголовком "World of Warcraft". Из данного окна похищается информация, вводимая пользователем при входе в on-line игру. Собранная информация передается в виде параметров на следующий URL:

http://w.per***exe.com:888/houmen/wow.asp
Библиотека экспортирует функцию с именем "AR", при вызове которой создается ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному
файлу троянца>,w"
Таким образом, при каждом следующем старте системы посредством системной утилиты "RUNDLL32.EXE" из троянской библиотеки будет вызываться функция с именем "w". При вызове экспортируемой функции "w" выполняются следующие действия:
  • тело троянца копируется в файл:
    \msvcr70.dll
    Значение подстроки "" считывается из ключа системного реестра:
    [HKLM\Software\Blizzard Entertainment\World of Warcraft]
    "GamePath"
  • В файл
    \wow.exe
    дописывается секция ".ngaut", содержащая код для внедрения библиотеки "\msvcr70.dll" в адресное пространство данного процесса. При этом точка входа "wow.exe" изменяется и указывает на код в дописанной секции.
  • Устанавливается хук-процедура, позволяющая отслеживать сообщения в системной очереди.
  • Создается ключ системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "edcsjh" = "RUNDLL32.EXE <полный путь к оригинальному
    файлу троянца>,w"
Категория: Malware | Просмотров: 869 | Добавил: sepos | Теги: Trojan-GameThief.Win32.OnLineGames. | Рейтинг: 5.0/1
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Календарь
«  Июнь 2011  »
Пн Вт Ср Чт Пт Сб Вс
  12345
6789101112
13141516171819
20212223242526
27282930

Архив

Друзья
Юридические услуги. Представительство в судах. Возврат долгов. Все о FreeBSD и прочих UNIX-like операционных системах Чоткие загрузки для успешных пацанов WE SELL LOADS SMS сервис для Вашего Бизнеса Единая база кидал Elite VPN Black SEO Hash Resolver Каталог сайтов OpenLinks.RU 495ru.ru, Доски объявлений, бесплатные объявления, дать объявление в интернет, подать объявление бесплатно
  • Место для вашей рекламы

  • //-->


    Copyright Hack and Secure Team © 2026