Virus Reporter - World of Warcraft y Wowpa Trojan
El troyano Wowpa puede causar daños y molestias a los fanáticos de World of Warcraft mientras intenta obtener las contraseñas para este juego.
A guau El objetivo principal del troyano es escanear la información confidencial de los fanáticos de World of Warcraft. En consecuencia, realiza cambios en el sistema que le permiten registrar las pulsaciones de teclas. El troyano se activa cuando la barra de título de la ventana que se abre contiene el texto "World of Warcraft" o se inicia un proceso wow.exe en el sistema infectado.
Además de los datos confidenciales de World of Warcraft, el troyano Wowpa recopila diligentemente información del sistema, que puede incluir:
- Dirección IP y nombre de host,
- nombre del servidor del juego,
- diversa información relacionada con el juego.
El troyano también puede descargar archivos maliciosos adicionales a través de Internet.
Cuando se inicia el troyano Wowpa, realiza las siguientes acciones:
- Cree los siguientes archivos:
% System% \ Launcher.exe
% Sistema% \ SVCH0ST.EXE
% System% \ Server.exe
% Windows% \ Help \ MSpass.exe
% System% \ mywow.dll
% Sistema% \ fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
% System% \ BhoPlugin.dll
% System% \ WinHel.dll
% Windows% \ Help \ MShook.dll - Las siguientes entradas se agregan a la base de datos de registro:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run \ wow
= "% System% \ Launcher.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
"% System% \ Server.exe"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
"RUNDLL32.EXE% Windows% \ BhoPlugin.dll, instalar"
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
"RUNDLL32.EXE C: \ WINDOWS \ system32 \ WinHel.dll, instalar" - Modifique los siguientes valores en el registro:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
"% Windows% \ help \ MSpass.exe"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ObjectName = "LocalSystem"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Description = "mos"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ DisplayName = "MS Massacre"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 "Raíz \ LEGACY_MSMASSACRE \ 0000"
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - Intenta obtener información de usuario de World of Warcraft. Para hacer esto, monitorea constantemente la actividad del usuario y monitorea cualquier ventana que tenga una barra de título de "World of Warcraft" o que pertenezca al proceso wow.exe.
- Registrar pulsaciones de teclas.
- Recopila información del sistema.
- Descarga un archivo malicioso de Internet y luego lo guarda de la siguiente manera:
% Temp% \ wowupdate.exe
