Security Lab

Trojan-PSW.Win32. Lineage.agi

Trojan-PSW.Win32. Lineage.agi

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage.

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage. Является библиотекой Windows DLL. Размер файла 48640 байт. Упакована с помощью UPX. Распакованный размер — около 120 КБ. Написана на языке Delphi.

Инсталляция

Данный троянец инсталлируется в систему при помощи другой троянской программы.

Деструктивная активность

Библиотека проверяет имя процесса, к которому она загружена, если имя процесса — Explorer.exe, то выполняются следующие действия:

* библиотека загружает себя и входит в цикл обработки сообщений;

* завершает процесс, идентификатор которого находится в первых четырех байтах разделяемой области памяти (FileMapping) с именем «sTT1FileMap»;

* ищет в системе окна с именами классов:

      Lineage Windows Client
serverListWnd

И получает значения, введенные в этих окнах.

Если имя процесса — verclsid.exe, библиотека завершает работу.

Для остальных процессов библиотека запускает на выполнение файл:

%WinDir%\loadfiles.exe

Если имя процесса, к которому подгружена библиотека, одно из следующих:

      * IEXPLORE.EXE
      * Lineage.exe
      * Lin.bin
  

То троянец устанавливает в системе перехватчики событий от мыши и клавиатуры, которые ищут в системе окна браузера Internet Explorer и получают данные, введенные в элементах управления input со следующими идентификаторами:

ddlServiceCode
login
passwd
tbGoodLockID
tbMainAccountID
tbMainAccountPassword
tbPasswordConfirm
tbPersonalID
tbServiceAccountID
X_tbPassword

Собранные данные троянец сохраняет в файле

c:\t1game.txt

И передает их на сайт злоумышленника.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь