Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Trojan-PSW.Win32.Hangame.cn

Celem tego trojana jest kradzież poufnych danych. Szkodnik ma postać pliku PE EXE o rozmiarze 57856 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 164KB). Powstał w języku programowania Delphi.

Instalacja

Podczas uruchamiania trojan zamyka następujące procesy:

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe
KVMonXP.KXP
KRegEx.exe
KVXP.KXP

Następnie trojan kopiuje swoje ciało do jednego z poniższych folderów z jedną z poniższych nazw:

%Program Files%Internat.exe 
%Program Files%
undll32.exe 
%Program Files%svhost32.exe
%WinDir%infInternat.exe 
%WinDir%inf
undll32.exe 
%WinDir%infsvhost32.exe

W celu zapewnienia sobie automatycznego uruchamiania się wraz z każdym restartem systemu trojan rejestruje swój plik wykonywalny w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Rhg" = "(ścieżka do pliku trojana)"

Trojan umieszcza również następujący plik .dll w folderze systemu Windows:

%System%hhdll.dll

Plik ten ma rozmiar 91136 bajtów. Wykrywany jest przez oprogramowanie Kaspersky Anti-Virus jako Trojan-PSW.Win32.Hangame.cp.

Funkcje szkodnika

Trojan przechwytuje szereg poufnych danych z komputera ofiary (hasła do systemu, wciśnięte klawisze, listę uruchomionych procesów) i przesyła te dane w określonych odstępach czasu na adres e-mail zdalnego szkodliwego użytkownika:

*****set@163.com

Trojan przechwytuje również nazwy użytkownika i hasła do kont gry Hang Game (http://www.hangame.com) i śledzi żądania do tej strony za pomocą przeglądarki Internet Explorer. Szkodnik wysyła te dane wraz z adresem IP atakowanej maszyny na adres e-mail zdalnego szkodliwego użytkownika:

abcd*****@263.net

Trojan zapisuje wszystkie przechwycone dane do następujących plików:

c:gamehg.txt
%Work%e1.dat

Następnie szkodnik pobiera plik z następującego adresu URL:

http://www.itemgame.net/test/*****/test.exe

Szkodnik zapisuje ten plik w następujący sposób:

%Work%e1.exe

Pobrany plik jest następnie uruchamiany w celu wykonania.

W momencie tworzenia tego opisu odsyłacz ten nie działał.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, w celu usunięcia szkodnika z zainfekowanego systemu wykonaj następujące operacje:

Usuwanie szkodnika z zainfekowanego systemu

  1. Użyj Menedżera zadań w celu zakończenia procesu trojana.
  2. Usuń oryginalny plik trojana (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
  3. Usuń następujące pliki:
    c:gamehg.txt
    %Work%e1.dat
    %Work%e1.exe
    %System%hhdll.dll
    %Program Files%Internat.exe 
    %Program Files%
    undll32.exe 
    %Program Files%svhost32.exe
    %WinDir%infInternat.exe 
    %WinDir%inf
    undll32.exe 
    %WinDir%infsvhost32.exe
    
  4. Usuń następującą wartość klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "Rhg" = "(ścieżka do pliku trojana)"

  5. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).