Az OnlineGames.HH trójai elsősorban az online játékokat kedvelő felhasználók számára okozhat fejtörést, ugyanis tőlük próbál minél több bizalmas adatot zsákmányolni.

Az OnlineGames.HH trójai azon kártékony programok közé sorolható, amelyek adatlopással igyekeznek kárt okozni, illetve anyagi haszonhoz juttatni a készítőiket, terjesztőiket. Ez a trójai - hasonlóan az elődeihez - elsősorban az online játékokhoz tartozó felhasználónevek és jelszavak megszerzésére specializálódott. A HH betűjelű variáns leginkább a Lineage, a World of Warcraft és a Rohan kapcsán próbál bizalmas adatokat kiszivárogtatni.

Az Isidor Biztonsági Központ jelentése szerint az OnlineGames.HH nem végez különösebben sok módosítást a számítógépeken, viszont megfelelő védelmi alkalmazás hiányában sokáig képes észrevétlenül tevékenykedni. Ugyan nem tartalmaz rootkit összetevőt, de a saját állományainak rejtetté tételére, valamint a Windows fájlmegjelenítési beállításainak módosítására teljes mértékben alkalmas.

Amikor az OnlineGames.HH trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SystemDrive%\autorun.inf
%SystemDrive%\q1.exe
%Temp%\4tddfwq0.dll
%Temp%\xvassdf.exe
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\8WEL7ODI\ar1[1].rar
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\I65VJICG\ar[1].rar

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN

3. A regisztrációs adatbázisban létrehozza a következő értékeket:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN\]\?Urlinfo? = "nmeqef.r"
[HKEY_CURRENT_USER\S-1-(Varies)\Software\Microsoft\Windows\CurrentVersion\Run\]\?54dfsger? = "%Temp%\xvassdf.exe"

4. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\]\?CheckedValue? =  ?0x00000000?
[HKEY_CURRENT_USER\S-1-(Varies)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]\"Hidden" = "0x00000002"

5. Megpróbál online játékokhoz tartozó felhasználóneveket és jelszavakat összegyűjteni.

6. Az összegyűjtött, bizalmas adatokat továbbítja a támadók számára.

A hír megjelenését a biztonságportál támogatta.