Detection added	20 Sep 2006 15:16 GMT
Update released	20 Sep 2006 19:46 GMT
Description added	26 May 2008
Comportement	Trojan-PSW, voleur de mot de passe

• Détails Techniques
• Action destructrice
• Conseils pour la suppression

Ce cheval de Troie vole des données confidentielles. C'est un fichier Windows PE EXE dont la taille est de 57 856 octets. Il est compressé en UPX et la taille du fichier décompressé est de 164 Ko. Il est écrit en Delphi.

Installation

Lorsqu'il est exécuté, le Trojan désactive les processus suivants :

Le Trojan se copie ensuite dans l'un des répertoires énumérés ci-dessous sous l'un des noms suivants :

Afin d'assurer l'éxécution automatique du Trojan à chaque démarrage du système, le code malicieux enregistre son fichier exécutable dans le registre système :

Ce cheval de Troie place également le fichier .dll suivant dans le répertoire système de Windows :

La taille de ce fichier est de 91 136 octets. Il est détecté par Kaspersky Anti-Virus sous le nom de Trojan-PSW.Win32.Hangame.cp.

Le Trojan collecte les données confidentielles présentes sur la machine victime (mots de passe système, frappes au clavier, liste des processus exécutés) et envoie ces données à intervalle régulier à l'adresse email du cyber-criminel distant :

Le code malicieux s'approprie aussi les noms d'utilisateurs et mots de passe de comptes du jeu Hang Game (http://www.hangame.com), et traque les requêtes faites vers ce site via le navigateur Internet Explorer. Le Trojan envoie ces données en même temps que l'adresse IP de la machine victime à l'adresse email du cyber-criminel :

Le Trojan sauvegarde toutes les données collectées dans les fichiers suivants :

Le Trojan télécharge ensuite un fichier depuis l'URL :

Et sauvegarde ce fichier de la façon suivante :

Le fichier téléchargé est ensuite éxécuté.

A l'heure où nous écrivons ces lignes, ce lien n'est plus actif.

Si votre ordinateur n’était pas protégé par un antivirus et est infecté par ce code malicieux, alors il est indispensable de prendre les mesures suivantes :

1. Utilisez le Gestionnaire des Tâches pour stopper l'activité du Trojan.
2. Supprimez le fichier d'origine du Trojan (son emplacement sur l’ordinateur infecté dépend de la façon dont il s’est infiltré sur le PC).
3. Supprimez les fichiers suivants :
   c:\gamehg.txt
   %Work%\e1.dat
   %Work%\e1.exe
   %System%\hhdll.dll
   %Program Files%\Internat.exe
   %Program Files%\rundll32.exe
   %Program Files%\svhost32.exe
   %WinDir%\inf\Internat.exe
   %WinDir%\inf\rundll32.exe
   %WinDir%\inf\svhost32.exe
4. Supprimez la clé suivante de la base de registre :
   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "Rhg" = "<path to Trojan file> "
5. Mettez à jour vos bases de signatures antivirus et effectuez une analyse complète de l’ordinateur à l’aide de Kaspersky Anti-Virus. Pour télécharger une version d’essai, cliquez ici.