TSPY_ONLINEG.SM3
PWS:Win32/OnLineGames.LH (Microsoft), Bloodhound.Gampass.E (Symantec). Trojan-GameThief.Win32.OnLineGames.ajgtd (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Spyware
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Wird möglicherweise von anderer Malware eingeschleust.
Entwendet vertrauliche Daten wie Benutzernamen und Kennwörter für bestimmte Spiele.
Technische Details
Übertragungsdetails
Wird möglicherweise von der folgenden Malware eingeschleust:
- TROJ_SPYDROP.AD
Installation
Beendet sich selbst, wenn die folgenden Prozesse im Speicher des betroffenen Systems gefunden werden:
- AyAgent.aye
- AYRTSrv.aye
- AYServiceNT.aye
- AYupdate.aye
- AYUpdSrv.aye
- MUpdate2.exe
- NaverAgent.exe
- Nsavsvc.npc
- nsvmon.npc
- NVCAgent.npc
- sgbider.exe
- SgSvc.exe
- SkyMon.exe
- SystemMon.exe
- V3Light.exe
- V3LRun.exe
- V3LSvc.exe
- V3LTray.exe
- vcsvc.exe
- vcsvcc.exe
Datendiebstahl
Entwendet vertrauliche Daten wie Benutzernamen und Kennwörter für folgende Spiele:
- Dungeon & Fighter (dnf.exe)
- FIFA Online (ff2client.exe)
- Heroes of the Pacific (heroes.exe)
- MapleStory (MapleStory.exe, NGM.exe)
- Ncsoft Lineage (lin.bin)
- Raycity.exe (RayCity)
- WinBaram (WinBaram.exe)
- World of Warcraft (wow.exe)
Entwendete Daten
Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:
- http://ot.{BLOCKED}l.com/mxdotp/mail.asp
- http://{BLOCKED}1.org/ddd/mail.asp
- http://{BLOCKED}1.org/dddxx/mail.asp
- http://{BLOCKED}1.org/df/mail.asp
- http://{BLOCKED}1.org/dfxx/mail.asp
- http://{BLOCKED}1.org/dk/mail.asp
- http://{BLOCKED}1.org/gd/mail.asp
- http://{BLOCKED}1.org/hg/mail.asp
- http://{BLOCKED}1.org/jl/mail.asp
- http://{BLOCKED}1.org/lq/mail.asp
- http://{BLOCKED}1.org/mxd/mail.asp
- http://{BLOCKED}1.org/mxdxx/mail.asp
- http://{BLOCKED}1.org/nm/mail.asp
- http://{BLOCKED}1.org/pm/mail.asp
- http://{BLOCKED}1.org/t1/mail.asp
- http://{BLOCKED}1.org/wow/mail.asp
- http://{BLOCKED}1.org/wowpin/mail.asp
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 3
Da diese Malware Rootkit-Technologie verwendet, wird sie bei Erkennung und Entfernung im normalen oder abgesicherten Modus möglicherweise nicht vollständig beseitigt. Mit diesen Schritten wird das System über die Windows Wiederherstellungskonsole neu gestartet.
- Legen Sie die Windows Installations-CD in das CD-Laufwerk ein, und drücken Sie die Schaltfläche Neu starten.
- Drücken Sie nach Aufforderung eine beliebige Taste, um von CD zu starten.
- Geben Sie im Hauptmenü r ein, um die Wiederherstellungskonsole zu öffnen.
- Geben Sie den Laufwerksbuchstaben für Windows ein (in der Regel C:), und drücken Sie die Eingabetaste.
- Geben Sie folgenden Befehl ein, und drücken Sie die Eingabetaste:
cd system32del ws2help.dllren ws2helpXP.dll ws2help.dll - Geben Sie exit ein, und drücken Sie die Eingabetaste, um das System normal zu starten.
Step 4
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TSPY_ONLINEG.SM3 entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Nehmen Sie an unserer Umfrage teil