Virus Reporter - 魔兽世界和 Wowpa 木马
Wowpa 木马可能会对魔兽世界的粉丝造成伤害和烦恼,因为它会尝试获取此游戏的密码。
A 哇帕 木马的主要目标是监视魔兽世界粉丝的机密数据。因此,它对系统进行更改以允许记录击键。当打开的窗口的地址栏中出现“魔兽世界”文本或在受感染系统上启动 wow.exe 进程时,木马就会被激活。
除了来自魔兽世界的机密数据外,Wowpa 木马还会努力收集系统信息,其中可能包括:
- IP地址和主机名,
- 游戏服务器名称,
- 各种游戏相关信息。
该木马还可以通过 Internet 下载其他恶意文件。
当 Wowpa 木马启动时,它会执行以下操作:
- 创建以下文件:
% 系统% \ Launcher.exe
% 系统% \ SVCH0ST.EXE
%系统%\Server.exe
% Windows%\帮助\MSpass.exe
%系统%\mywow.dll
%系统%\fsmgmt.dll
% Temp% \ WowInitcode.dll
% Temp% \ WowInitcode.dat
%系统%\BhoPlugin.dll
%系统%\WinHel.dll
% Windows%\帮助\MShook.dll - 以下条目将添加到注册数据库中:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\wow
=“%System%\Launcher.exe”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Systems32 =
“%System%\Server.exe”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ MShelp =
“RUNDLL32.EXE %Windows%\BhoPlugin.dll,安装”
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ManagerHLP =
“RUNDLL32.EXE C:\WINDOWS\system32\WinHel.dll,安装” - 修改注册表中的以下值:
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ImagePath =
“%Windows%\help\MSpass.exe”
HKLM\System\CurrentControlSet\Services\MSmassacre\ObjectName = “LocalSystem”
HKLM\System\CurrentControlSet\Services\MSmassacre\Description = “mos”
HKLM\System\CurrentControlSet\Services\MSmassacre\DisplayName = “MS Massacre”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \
0 “根\LEGACY_MSMASSACRE\0000”
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ ErrorControl = 0x0
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ Count = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Enum \ NextInstance = 0x1
HKLM \ System \ CurrentControlSet \ Services \ MSmassacre \ Start = 0x2 - 尝试获取《魔兽世界》游戏的用户信息。为此,它会持续监视用户的活动并监视任何标题为“魔兽世界”或属于 wow.exe 进程的窗口。
- 记录击键。
- 收集系统信息。
- 它从 Internet 下载恶意文件,然后按如下方式保存:
% Temp% \ wowupdate.exe