Internetes játékokkal szórakozik az OnlineGames trójai

1
Kristóf Csaba
2010. március 4., 08:17
Nyomtatás
Az OnlineGames.HH trójai elsősorban az online játékokat kedvelő felhasználók számára okozhat fejtörést, ugyanis tőlük próbál minél több bizalmas adatot zsákmányolni.

Az OnlineGames.HH trójai azon kártékony programok közé sorolható, amelyek adatlopással igyekeznek kárt okozni, illetve anyagi haszonhoz juttatni a készítőiket, terjesztőiket. Ez a trójai - hasonlóan az elődeihez - elsősorban az online játékokhoz tartozó felhasználónevek és jelszavak megszerzésére specializálódott. A HH betűjelű variáns leginkább a Lineage, a World of Warcraft és a Rohan kapcsán próbál bizalmas adatokat kiszivárogtatni.

Az Isidor Biztonsági Központ jelentése szerint az OnlineGames.HH nem végez különösebben sok módosítást a számítógépeken, viszont megfelelő védelmi alkalmazás hiányában sokáig képes észrevétlenül tevékenykedni. Ugyan nem tartalmaz rootkit összetevőt, de a saját állományainak rejtetté tételére, valamint a Windows fájlmegjelenítési beállításainak módosítására teljes mértékben alkalmas.

Amikor az OnlineGames.HH trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SystemDrive%\autorun.inf
%SystemDrive%\q1.exe
%Temp%\4tddfwq0.dll
%Temp%\xvassdf.exe
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\8WEL7ODI\ar1[1].rar
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\I65VJICG\ar[1].rar

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN

3. A regisztrációs adatbázisban létrehozza a következő értékeket:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN\]\?Urlinfo? = "nmeqef.r"
[HKEY_CURRENT_USER\S-1-(Varies)\Software\Microsoft\Windows\CurrentVersion\Run\]\?54dfsger? = "%Temp%\xvassdf.exe"

4. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\]\?CheckedValue? =  ?0x00000000?
[HKEY_CURRENT_USER\S-1-(Varies)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]\"Hidden" = "0x00000002"

5. Megpróbál online játékokhoz tartozó felhasználóneveket és jelszavakat összegyűjteni.

6. Az összegyűjtött, bizalmas adatokat továbbítja a támadók számára.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)