Trojan-PSW.Win32. Lineage.acn

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage. Является приложением Windows (PE EXE-файл). Написана на Delphi. Размер файла троянца может варьироваться от 68 до 74 КБ.

Инсталляция

После запуска троянец копирует себя в корневой каталог Windows:

%WinDir%\loadfiles.exe

Если такой файл уже существует, троянец завершает свою работу.

В противном случае извлекает из своего тела следующий файл:

%WinDir%\msdos32.dll

Этот файл детектируется Антивирусом Касперского как Trojan-PSW.Win32.Lineage.agi.

Создает следующие ключи реестра:

[HKCR\CLSID\{71FB2399-FF7A-4850-9A6E-0C41E4E93417}]
[HKLM\Software\Classes\CLSID\{71FB2399-FF7A-4850-9A6E-0C41E4E93417}]

Создает параметр в ключе реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{71FB2399-FF7A-4850-9A6E-0C41E4E93417}

Деструктивная активность

Троянец загружает библиотеку

%WinDir%\msdos32.dll

и вызывает из нее функцию с именем JumpHookOn.

Создает разделяемую область памяти(CreateFileMapping) с системным именем «sTT1FileMap» размером в 4 байта и помещает туда идентификатор своего главного потока.

После этого программа входит в цикл обработки сообщений и ждет сообщения WM_QUIT. По приходу этого сообщения троянец вызывает функцию JumpHookOff из библиотеки msdos32.dll и завершает свою работу.