Security Lab

Trojan-PSW.Win32. Lineage.acn

Trojan-PSW.Win32. Lineage.acn

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage.

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage. Является приложением Windows (PE EXE-файл). Написана на Delphi. Размер файла троянца может варьироваться от 68 до 74 КБ.

Инсталляция

После запуска троянец копирует себя в корневой каталог Windows:

%WinDir%\loadfiles.exe

Если такой файл уже существует, троянец завершает свою работу.

В противном случае извлекает из своего тела следующий файл:

%WinDir%\msdos32.dll

Этот файл детектируется Антивирусом Касперского как Trojan-PSW.Win32.Lineage.agi.

Создает следующие ключи реестра:

[HKCR\CLSID\{71FB2399-FF7A-4850-9A6E-0C41E4E93417}]
[HKLM\Software\Classes\CLSID\{71FB2399-FF7A-4850-9A6E-0C41E4E93417}]

Создает параметр в ключе реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{71FB2399-FF7A-4850-9A6E-0C41E4E93417}

Деструктивная активность

Троянец загружает библиотеку

%WinDir%\msdos32.dll

и вызывает из нее функцию с именем JumpHookOn.

Создает разделяемую область памяти(CreateFileMapping) с системным именем «sTT1FileMap» размером в 4 байта и помещает туда идентификатор своего главного потока.

После этого программа входит в цикл обработки сообщений и ждет сообщения WM_QUIT. По приходу этого сообщения троянец вызывает функцию JumpHookOff из библиотеки msdos32.dll и завершает свою работу.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!