Es tracta d'un Cavall de Troya que monitoritza quan l'usuari es conecta a certs servidors del famós joc World of Warcraft, el qual enregistra la sortida del teclat i envia a un usuari remot informació com el nom d'usuari i contrasenya.
Cuan s'executa, crea alguns arxius com:
internat.exe
msdll.dll
rundll32.exe
svchpsz.exe
svchs0t.exe
svhost32.exe
I crea aquesta entrada en el registre per autoexecutar-se en iniciar-se Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
load = [camí i nom executable]
El troià arriba a controlar si l'usuari obre alguna pàgina web relacionada amb WOW, injectanse en l'arxiu EXPLORER.EXE.
També desactiva procesos de seguretat per evitar ser detectat, com són:
eghost.exe
kavpfw.exe
mailmon.exe
ravmon.exe
ravmond.exe
zonealarm
Cap comentari:
Publica un comentari a l'entrada