Според публикация във форума на WoW, троянската програма краде акаунт данните ви и паролата за автентикатора в момента, в който ги въведете. Според екипа на поддръжката, застрашени са притежателите, както на мобилни, така и на физически автентикатори.
Ако акаунтът ви е бил компрометиран наскоро, троянецът може да бъде локализиран със създаването на MSInfo файл в Startup Program секцията на файла за Disker или за Disker64, като обикновено това ще е изобразено така:
"Disker rundll32.exe c:\users\name\appdata\local\temp\w_win.dll,dw Name-PC\
Name Startup
Disker64 rundll32.exe c:\users\name\appdata\local\temp\w_64.dll,dw Name-PC\
Name Startup "
Ако сте станали жертва на програмата, от форума препоръчват да им изпратите следната информация:
Вашият MSInfo файл.
Списък с add-on-ите, които последно сте инсталирали.
Списък с програмите, които сте инсталирали наскоро, а също така откъде сте ги свалили.
Списък със защитните програми, с които сте правили проверка за малуер и логове от резултатите им.
Междувременно може да следите и темата във форума, която е вече с над 200 поста за ден. Хубавото е, че явно вече има програми, които засичат програмата, благодарение на член на форума.
Според член на форума изглежда, че троянецът е вграден във фалшив Curse клиент, който идва от фалшива версия на сайта на Curse. Kaltonis препоръчва да изтриете фалшивия клиент и направите сканиране с обновена версия на Malwarebytes.
И разбира се може да посетите секцията Help, I got hacked на страницата на Battle.net.
