Trojan-PSW.Win32.Hangame.cn
Podczas uruchamiania trojan zamyka nast臋puj膮ce procesy:
EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMOR.EXE Ravmond.EXE RavMon.exe KVMonXP.KXP KRegEx.exe KVXP.KXP
Nast臋pnie trojan kopiuje swoje cia艂o do jednego z poni偶szych folder贸w z jedn膮 z poni偶szych nazw:
%Program Files%Internat.exe %Program Files% undll32.exe %Program Files%svhost32.exe %WinDir%infInternat.exe %WinDir%inf undll32.exe %WinDir%infsvhost32.exe
W celu zapewnienia sobie automatycznego uruchamiania si臋 wraz z ka偶dym restartem systemu trojan rejestruje sw贸j plik wykonywalny w rejestrze systemowym:
"Rhg" = "(艣cie偶ka do pliku trojana)"
Trojan umieszcza r贸wnie偶 nast臋puj膮cy plik .dll w folderze systemu Windows:
%System%hhdll.dll
Plik ten ma rozmiar 91136 bajt贸w. Wykrywany jest przez oprogramowanie Kaspersky Anti-Virus jako
Trojan przechwytuje szereg poufnych danych z komputera ofiary (has艂a do systemu, wci艣ni臋te klawisze, list臋 uruchomionych proces贸w) i przesy艂a te dane w okre艣lonych odst臋pach czasu na adres e-mail zdalnego szkodliwego u偶ytkownika:
*****set@163.com
Trojan przechwytuje r贸wnie偶 nazwy u偶ytkownika i has艂a do kont gry Hang Game (http://www.hangame.com) i 艣ledzi 偶膮dania do tej strony za pomoc膮 przegl膮darki Internet Explorer. Szkodnik wysy艂a te dane wraz z adresem IP atakowanej maszyny na adres e-mail zdalnego szkodliwego u偶ytkownika:
abcd*****@263.net
Trojan zapisuje wszystkie przechwycone dane do nast臋puj膮cych plik贸w:
c:gamehg.txt %Work%e1.dat
Nast臋pnie szkodnik pobiera plik z nast臋puj膮cego adresu URL:
http://www.itemgame.net/test/*****/test.exe
Szkodnik zapisuje ten plik w nast臋puj膮cy spos贸b:
%Work%e1.exe
Pobrany plik jest nast臋pnie uruchamiany w celu wykonania.
W momencie tworzenia tego opisu odsy艂acz ten nie dzia艂a艂.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu trojana.
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce pliki:
c:gamehg.txt %Work%e1.dat %Work%e1.exe %System%hhdll.dll %Program Files%Internat.exe %Program Files% undll32.exe %Program Files%svhost32.exe %WinDir%infInternat.exe %WinDir%inf undll32.exe %WinDir%infsvhost32.exe
- Usu艅 nast臋puj膮c膮 warto艣膰 klucza rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"Rhg" = "(艣cie偶ka do pliku trojana)" - Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).