Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage.
Инсталляция
После запуска троянец копирует себя в корневой каталог Windows:
%WinDir%\loadfiles.exe
Если такой файл уже существует, троянец завершает свою работу.
В противном случае извлекает из своего тела следующий файл:
%WinDir%\msdos32.dll
Этот файл детектируется Антивирусом Касперского как Trojan-PSW.Win32.Lineage.agi.
Создает следующие ключи реестра:
[HKCR\CLSID\{71FB2399-FF7A-4850-9A6E-0C41E4E93417}]
[HKLM\Software\Classes\CLSID\{71FB2399-FF7A-4850-9A6E-0C41E4E93417}]
Создает параметр в ключе реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{71FB2399-FF7A-4850-9A6E-0C41E4E93417}
Деструктивная активность
Троянец загружает библиотеку
%WinDir%\msdos32.dll
и вызывает из нее функцию с именем JumpHookOn.
Создает разделяемую область памяти(CreateFileMapping) с системным именем «sTT1FileMap» размером в 4 байта и помещает туда идентификатор своего главного потока.
После этого программа входит в цикл обработки сообщений и ждет сообщения WM_QUIT. По приходу этого сообщения троянец вызывает функцию JumpHookOff из библиотеки msdos32.dll и завершает свою работу.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках