Trojan-GameThief.Win32.Magania

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE-EXE файл). Имеет размер 126464байта. Упакована при помощи ASPack. Распакованный размер – около 516 КБ. Написана на С++.

Инсталляция

После запуска троянец копирует свое оригинальное тело в каталог хранения временных файлов текущего пользователя под именем:

%Temp%herss.exe

Устанавливает файлу атрибуты “Скрытый”, “Только для чтения”, “Системный”.

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]



"cdoosoft"="%Temp%herss.exe"

Например Trojan-GameThief.Win32.Magania.cfgb:

Файл троянца размещается другими вредоносными файлами в корневых каталогах дисков вместе с каким-либо вредоносным исполняемым файлом.

Данный файл может иметь следующие имена:

3p9wj19.exe

3j2h0tf.bat

2dxy1kc.exe

xhah66s.cmd

htjtq8o.exe

w6hikrv.com

qxoaikt.bat

8dtyjjf.exe

qcoageh.exe

vwewav8.com

lyhwcea.exe

n0euybx.exe

При открытии диска при помощи “Проводника” происходит запуск этого файла.