Shrnutí
PWS:Win32/Gamania je rodina trojských koní, který krade hesla online hra a posílá je do vzdálených míst.
Příznaky
Příznaky, které naznačují přítomnost tohoto trojan se liší podle provedení.
Technické informace (analýza)
PWS:Win32/Gamania je rodina trojských koní, který krade hesla online hra a posílá je do vzdálených míst.
Instalace
Kdy PWS:Win32/Gamaniaběží, kopíruje a upustí DLL do systémového adresáře. Použité názvy souborů se liší podle provedení.
To pak upravuje registru provádět sám při každém startu Windows, přidáním hodnoty a údaje specifické pro danou variantu na následující podklíč:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Kromě toho je v registru následující úpravy:
Přidává hodnotu: ver_
S údaji: <verze>
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows
Například jedna varianta, zkopíruje do% windir% \ config \ svhost32.exe, upustí DLL <system folder> \ dllf.dll, a dělá následující úpravy registru:
Přidává hodnotu: "FZG"
Vzhledem k objemu dat: "% windir% \ config \ svhost32.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Vzhledem k objemu dat: "% windir% \ config \ svhost32.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "ver_"
s údaji: "MZ".
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows
s údaji: "MZ".
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows
Zatímco jiná varianta, například zkopíruje do% windir% \ \ rundll32.exe Addins, upustí DLL <system folder> \ r2dll.dll, a dělá tyto úpravy registru:
Přidanou hodnotu: "Rr2"
s údaji: "% windir% \ Addins \ rundll32.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
s údaji: "% windir% \ Addins \ rundll32.exe"
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: "ver_"
s údaji: "MZ".
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows
s údaji: "MZ".
Chcete-li podklíč: HKLM \ Software \ Microsoft \ Windows
Užitečná
Online hry krade hesla
PWS:Win32/Gamaniazřizuje klávesnice a myši zprávy háky s cílem zachytit přihlašovací údaje, pokud dotčené uživatel pokusí o přístup konkrétních herních webů, jako je
http://www.wayi.com.tw, například.
http://www.wayi.com.tw, například.
Ke stažení a vykonává libovolné soubory
PWS:Win32/Gamaniaje schopen sám aktualizovat. Dotkne vzdálené místo a zkontrolujte, zda nová verze je k dispozici. Je-li nalezen, stáhne novou verzi a pak spustí jej.
Upraví nastavení zabezpečení systému
Trojan se snaží uzavřít upozornění okna využívají následující souvisejících se zabezpečením aplikací:
• Rostoucí Security Monitor
• ZoneAlarm
• Rostoucí Security Monitor
• ZoneAlarm
Ukončí procesy
PWS:Win32/Gamania pokusy o ukončení těchto postupů:
• Eghost.exe
• Mailmon.exe
• KAVPFW.exe
• IPArmor.exe
PWS:Win32/Gamania pokusy o ukončení těchto postupů:
• Eghost.exe
• Mailmon.exe
• KAVPFW.exe
• IPArmor.exe
Žádné komentáře:
Okomentovat