Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage.
Инсталляция
Данный троянец инсталлируется в систему при помощи другой троянской программы.
Деструктивная активность
Библиотека проверяет имя процесса, к которому она загружена, если имя процесса — Explorer.exe, то выполняются следующие действия:
* библиотека загружает себя и входит в цикл обработки сообщений;
* завершает процесс, идентификатор которого находится в первых четырех байтах разделяемой области памяти (FileMapping) с именем «sTT1FileMap»;
* ищет в системе окна с именами классов:
Lineage Windows Client
serverListWnd
И получает значения, введенные в этих окнах.
Если имя процесса — verclsid.exe, библиотека завершает работу.
Для остальных процессов библиотека запускает на выполнение файл:
%WinDir%\loadfiles.exe
Если имя процесса, к которому подгружена библиотека, одно из следующих:
* IEXPLORE.EXE * Lineage.exe * Lin.bin
То троянец устанавливает в системе перехватчики событий от мыши и клавиатуры, которые ищут в системе окна браузера Internet Explorer и получают данные, введенные в элементах управления input со следующими идентификаторами:
ddlServiceCode
login
passwd
tbGoodLockID
tbMainAccountID
tbMainAccountPassword
tbPasswordConfirm
tbPersonalID
tbServiceAccountID
X_tbPassword
Собранные данные троянец сохраняет в файле
c:\t1game.txt
И передает их на сайт злоумышленника.
Но доступ к знаниям открыт для всех