Trojan-PSW.Win32.Hangame.cn

Celem tego trojana jest kradzie偶 poufnych danych. Szkodnik ma posta膰 pliku PE EXE o rozmiarze 57856 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 164KB). Powsta艂 w j臋zyku programowania Delphi.

Instalacja

Podczas uruchamiania trojan zamyka nast臋puj膮ce procesy:

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
RavMon.exe
KVMonXP.KXP
KRegEx.exe
KVXP.KXP

Nast臋pnie trojan kopiuje swoje cia艂o do jednego z poni偶szych folder贸w z jedn膮 z poni偶szych nazw:

%Program Files%Internat.exe 
%Program Files%
undll32.exe 
%Program Files%svhost32.exe
%WinDir%infInternat.exe 
%WinDir%inf
undll32.exe 
%WinDir%infsvhost32.exe

W celu zapewnienia sobie automatycznego uruchamiania si臋 wraz z ka偶dym restartem systemu trojan rejestruje sw贸j plik wykonywalny w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Rhg" = "(艣cie偶ka do pliku trojana)"

Trojan umieszcza r贸wnie偶 nast臋puj膮cy plik .dll w folderze systemu Windows:

%System%hhdll.dll

Plik ten ma rozmiar 91136 bajt贸w. Wykrywany jest przez oprogramowanie Kaspersky Anti-Virus jako Trojan-PSW.Win32.Hangame.cp.

Funkcje szkodnika

Trojan przechwytuje szereg poufnych danych z komputera ofiary (has艂a do systemu, wci艣ni臋te klawisze, list臋 uruchomionych proces贸w) i przesy艂a te dane w okre艣lonych odst臋pach czasu na adres e-mail zdalnego szkodliwego u偶ytkownika:

*****set@163.com

Trojan przechwytuje r贸wnie偶 nazwy u偶ytkownika i has艂a do kont gry Hang Game (http://www.hangame.com) i 艣ledzi 偶膮dania do tej strony za pomoc膮 przegl膮darki Internet Explorer. Szkodnik wysy艂a te dane wraz z adresem IP atakowanej maszyny na adres e-mail zdalnego szkodliwego u偶ytkownika:

abcd*****@263.net

Trojan zapisuje wszystkie przechwycone dane do nast臋puj膮cych plik贸w:

c:gamehg.txt
%Work%e1.dat

Nast臋pnie szkodnik pobiera plik z nast臋puj膮cego adresu URL:

http://www.itemgame.net/test/*****/test.exe

Szkodnik zapisuje ten plik w nast臋puj膮cy spos贸b:

%Work%e1.exe

Pobrany plik jest nast臋pnie uruchamiany w celu wykonania.

W momencie tworzenia tego opisu odsy艂acz ten nie dzia艂a艂.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

Usuwanie szkodnika z zainfekowanego systemu

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu trojana.
  2. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮ce pliki:
    c:gamehg.txt
    %Work%e1.dat
    %Work%e1.exe
    %System%hhdll.dll
    %Program Files%Internat.exe 
    %Program Files%
    undll32.exe 
    %Program Files%svhost32.exe
    %WinDir%infInternat.exe 
    %WinDir%inf
    undll32.exe 
    %WinDir%infsvhost32.exe
    
  4. Usu艅 nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:

    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
    "Rhg" = "(艣cie偶ka do pliku trojana)"

  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).