Деструктивная активность
После запуска троянец выполняет следующие действия:- извлекает из своего тела файл, который сохраняется в системе как %System%\mslaejjs.dll (36865 байт; детектируется Антивирусом Касперского как "Trojan-GameThief.Win32.OnLineGames.bnpj") Данная библиотека предназначена для похищения паролей от пользовательских учетных записей игры "World of Warcraft".
- Запускает системную утилиту "Rundll32.exe" со следующими параметрами:
%System%\mslaejjs.dll,w
Таким образом, из извлеченной библиотеки вызывается функция с именем "w". При этом троянская библиотека будет инсталлирована в систему и подгружена в адресное пространство процесса "wow.exe". Также будет создан следующий ключ автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "rdllvz" = "RUNDLL32.EXE <полный путь к оригинальному файлу троянца>,w"
- Находит в системе окно с именем класса "GxWindowClassD3d" и закрывает его, посылая сообщение WM_CLOSE.
- Создает в своем рабочем каталоге сценарий командного интерпретатора, запускает его и завершает свою работу — данный сценарий удаляет оригинальный файл троянца и самоуничтожается. После этого троянец завершает свою работу.
0 коммент.:
Отправить комментарий