Trojan-GameThief.Win32.Magania.bwsr

Технические детали

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE EXE-файл). В зависимости от версии имеет размер от 24708 до 48252 байт. Некоторые версии программы упакованы при помощи UPX. Написана на С++.

Нагрузка

После запуска троянец извлекает из своего тела файл и устанавливает ему атрибуты "скрытый" и "системный", имя файла зависит от версии троянца и может быть одним из следующих:

%WinDir%\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf
%WinDir%\Downloaded Program Files\eVaMpZ3AmmmbCPjX.Ttf
%WinDir%\Downloaded Program Files\JjedvMTDtPyqp9ZTrgw.Ttf
%WinDir%\Downloaded Program Files\EpapzVpa3DRCkpPR.Ttf

Данные файлы могут иметь размер от 196 до 212 байт и не являются вредоносными. Содержимое извлеченного файла троянец дописывает в конец извлекаемой в дальнейшем библиотеки.


После этого троянец извлекает из своего тела библиотеку с именем, зависящим от модификации вредоноса, которой также устанавливает атрибуты "скрытый" и "системный". Имя извлеченной библиотеки может быть одним из следующих:
%System%\z6FVkEF47huPzgaXee.inf - 18532 байта,
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.cces.

%System%\pEcFwPj48y6DADf87r.inf - 17920 байт,
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.cabi.

%System%\P6VyQtQJUYa3rFan7J.inf - 16984 байта,
детектируется антивирусом Касперского
как rojan-GameThief.Win32.Magania.bzvn.

%System%\SrNRKs5F7Rkv9hp.inf - 17920 байт,
детектируется антивирусом Касперского
как Trojan-GameThief.Win32.Magania.bwyu.

Извлеченную библиотеку троянец подгружает в свое адресное пространство и вызывает из нее функцию с именем "X8d6wRhVPsmE3Ktxc".


Троянец содержит в своем теле хеш процесса, полученного с помощью алгоритма хеширования MD5, который сравнивает с хешами имен всех запущенных на компьютере пользователя процессов, если хеши совпали, тогда троянец завершает соответствующий процесс.


Также троянец удаляет системный файл, предназначенный для проверки расширений оболочки перед тем как они пропишутся в Windows Shell или Windows Explorer:
%System%\verclsid.exe

После этого троянец записывает следующую информацию в ключи системного реестра для автоматического запуска извлеченной ранее библиотеки. В зависимости от модификации троянца, ключи автозапуска могут быть следующие:
[HKCR\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32]
"(default)" = "%System%\z6FVkEF47huPzgaXee.inf"
"ThreadingModel" = "Apartment"


[HKCR\CLSID\{E16EA4C8-040B-4A12-A0F5-783963AD665D}\InprocServer32]
"(default)" = "%System%\P6VyQtQJUYa3rFan7J.inf"
"ThreadingModel" = "Apartment"


[HKCR\CLSID\{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}\InprocServer32]
"(default)" = "%System%\pEcFwPj48y6DADf87r.inf"
"ThreadingModel" = "Apartment"


[HKCR\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32]
"(default)" = "%System%\SrNRKs5F7Rkv9hp.inf"
"ThreadingModel" = "Apartment"


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks]
"{74DA2FEC-F68F-4DC7-9A45-9174AC044427}"=""
"{E16EA4C8-040B-4A12-A0F5-783963AD665D}"=""
"{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}"=""
После этого троянец удаляет свое оригинальное тело и завершает свою работу.

Инструкции по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить троянский процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы:
    %WinDir%\Downloaded Program Files\WQKrDGnXQQb3Mgjk.Ttf
    %WinDir%\Downloaded Program Files\eVaMpZ3AmmmbCPjX.Ttf
    %WinDir%\Downloaded Program Files\JjedvMTDtPyqp9ZTrgw.Ttf
    %WinDir%\Downloaded Program Files\EpapzVpa3DRCkpPR.Ttf
    %System%\z6FVkEF47huPzgaXee.inf
    %System%\pEcFwPj48y6DADf87r.inf
    %System%\P6VyQtQJUYa3rFan7J.inf
    %System%\SrNRKs5F7Rkv9hp.inf

  4. Восстановить файл из дистрибутива операционной системы:
    %System%\verclsid.exe

  5. Удалить ключи системного реестра:
    [HKCR\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}
    \InprocServer32] [HKCR\CLSID\{E16EA4C8-040B-4A12-A0F5-783963AD665D}\InprocServer32]
    [HKCR\CLSID\{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}\InprocServer32]
  6. Удалить параметры ключа системного реестра:
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    \ShellExecuteHooks] "{74DA2FEC-F68F-4DC7-9A45-9174AC044427}"=""
    "{E16EA4C8-040B-4A12-A0F5-783963AD665D}"=""
    "{81BC0740-6E31-4BA4-81C8-EFF9ECEB3BA2}"=""

  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).