Trojan-PSW.Win32.OnLineGames.rlh

MOD

Ngày phát hiện: 19/02/2008

Chi tiết kỹ thuật

Chương trình mã độc này là một Trojan. Nó là một file EXE có kích thước 112736 byte.

Cài đặt

Trojan sẽ copy file thực thi của chính nó vào thư mục hệ thống của Windows:

%System%\kavo.exe

Để đảm bảo Trojan tự động chạy mỗi khi hệ thống khởi động lại, Trojan ghi chính file thực thi của nó vào registry hệ thống:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%System%\kavo.exe"

Trojan cũng trích xuất ra file sau từ bản thân file thực thi:

%System%\kavo0.dll

File này có dung lượng 96768 byte. Nó sẽ bị Kaspersky Anti-Virus phát hiện là Trojan-GameThief.Win32.OnLineGames.rlb.

Trojan cũng trích xuất ra file sau từ bản thân file thực thi:

%Temp%\<random symbols>.dll

File này có dung lượng 29994 byte. Nó sẽ bị Kaspersky Anti-Virus phát hiện là Trojan-GameThief.Win32.OnLineGames.yyq.

Hoạt động

Trojan sẽ tải file .dll vào tất cả các tiến trình được khởi chạy trong hệ thống. Ngoài ra Trojan còn chặn đứng các sự kiện chuột và bàn phím nếu bất kỳ tiến trình nào sau đây được chạy:

maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe

Nó phát hiện lưu lượng gửi tới các địa chỉ sau:

61.220.60.***
61.220.60.***
61.220.62.***
61.220.56.***
61.220.56.***
61.220.62.***
61.220.62.***
203.69.46.***
203.69.46.***
220.130.113.***

Nó sẽ thu thập dữ liệu tài khoản các game sau:

ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver

và một số game khác. Trojan cũng phân tích file cấu hình của các game trên và thử thu thập thông tin các tài khoản của gamer khác trên server.

Dữ liệu thu thập sẽ được gửi tới site của kẻ hiểm ác từ xa.

Trojan cũng thay đổi các giá trị tham số registry hệ thống sau:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fol
der\Hidden\SHOWALL] "CheckedValue" = "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"ShowSuperHidden" = "0"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"

Trojan còn thử ngăn chặn các quá trình sau:

KAV
RAV
AVP
KAVSVC/

Trojan này còn có thuộc tính như sâu máy tính, nó có thể được phát tán thông qua thiết bị lưu trữ di động. Nó tự sao chép chính bản thân file thực thi vào thư mục gốc của từng thiết bị như:

<X>:\h2.com

Với <X> là tên ổ có liên quan.

Ngoài ra, Trojan còn đặt file thực thi vào thư mục gốc của mọi ổ thiết bị:

<x>:\autorun.inf

File này sẽ khởi chạy file thực thi Trojan mỗi khi người dùng mở thiết bị nhiễm độc bằng Explorer.

Hướng dẫn gỡ bỏ

Nếu máy tính của bạn không có một chương trình diệt virus tự động cập nhật, hoặc không có một giải pháp diệt virus toàn vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc khỏi máy tính:

1. Xóa file sau:

%System%\kavo.exe

2. Khởi động lại máy tính.

3. Xóa file Trojan gốc (vị trí file tùy thuộc vào cách nó xâm nhập ban đầu vào máy tính nạn nhân).

4. Xóa tham số khóa registy hệ thống sau:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%System%\kavo.exe"

5. Khôi phục lại các giá trị khóa registry hệ thống gốc:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fol
der\Hidden\SHOWALL]
"CheckedValue" = "0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2" "ShowSuperHidden" = "0"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
"NoDriveTypeAutoRun" = "0x91"

6. Xóa file sau: