Comportamiento del virus de patch.exe

Este es un programa caballo de Troya que roba cuentas. El programa primero buscará una ventana que contenga "juego" y luego configurará un programa de monitoreo de mensajes para interceptar paquetes de datos de red entre el usuario y el servidor de juegos en línea, robando así la información relacionada con la cuenta del usuario.

1. Después de ejecutar el programa, se genera el archivo

WINDOWS\System32\xsbio.dll

WINDOWS\System32\patch.exe

2. Se agregaron elementos de registro en el registro, de la siguiente manera:

HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

Nombre del elemento de inicio : @ Ruta correspondiente: C:\WINDOWS\System32 io.dll

HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

Nombre del elemento de inicio: ThreadingModel Valor correspondiente: Apartamento

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

Nombre del elemento de inicio: @ Ruta correspondiente: C:\ WINDOWS\System32 \patch.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

Nombre del elemento de inicio: ThreadingModel Valor correspondiente: Apartment

3. El troyano buscará el mutex _MUTEX_AD_____LOADER para determinar si ya se está ejecutando un troyano; de lo contrario, creará un archivo y llamará a la función JumpHookOn en xsbio.dll para comenzar a funcionar.

4. El troyano buscará ventanas que contengan juegos y luego interceptará paquetes de datos de red, robando así información relacionada con las cuentas de los usuarios de juegos en línea.