Dit type Trojan steelt wachtwoorden en andere gevoelige informatie, tevens bestaat de mogelijkheid dat er meer malware gedownload wordt.

Deze familie van ‘Password stealers’ is vrij groot en is voornamelijk op jacht naar inloggegevens van online games zoals World of Warcraft. De gestolen inloggegevens worden doorgesluisd naar een ‘hacker’ die met deze gegevens op de bewuste account kan inloggen waarna alle bezittingen worden doorgesluisd naar een andere speler. Deze bezittingen worden later weer omgezet in wereldse valuta door middel van verkoop. Met miljoenen spelers zijn er al gauw duizenden slachtoffers, reken maar uit.

Deze trojans komen geregeld het systeem binnen via malafide e-mail bijlagen, via malafide links in MySpace en FaceBook of worden binnengehaald door wormen, Backdoors en Trojan-downloaders. Nadat de Trojan is geactiveerd nestelt deze zich in het systeem door zich in de Windows folder te kopiëren. Tevens wordt het automatisch opstarten van de Trojan verzekerd door een sleutelwaarde te plaatsen in:

[HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run]

Hierna gaat de Trojan op zoek naar Explorer.exe en injecteert dit proces door middel van een DLL.

Om de daadwerkelijke inloggegevens te bemachtigen ‘leest’ de Trojan het proces geheugen van de game exe’s zoals WOW.EXE (World of Warcraft), ElementClient.exe (Perfect World), CabalMain.exe (Cabal Online). Ook is het mogelijk dat de Trojan Keylogger capaciteiten bezit of het adres van de game server probeert te achterhalen uit CurrentServer.ini. De DLL bevat vaak een gecodeerde URL waar de gestolen gegevens naar toe worden gezonden, de meeste hiervan bevinden zich in China.

Buiten deze schadelijke gevolgen worden soms ook startpagina’s en/of zoekresultaten aangepast,  AntiVirus producten afgesloten, update mogelijkheden uitgeschakeld en vertragen sommige pc enorm door een hoog cpu gebruik van de Trojan.

Verwijdering vindt in principe plaats aan de hand van onderstaande stappen;

1) uitschakelen van Trojan proces zelf

2) verwijdering van Trojan bestanden

3) verwijdering van Trojan registersleutels

4) opschoning & controle

Maar voor onervaren gebruikers is het aan te raden de hulp van een expert in te schakelen.

Het direct wijzigen van de inloggegevens spreekt voor zich.