Trojan-PSW.Win32. Lineage.agi

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage. Является библиотекой Windows DLL. Размер файла 48640 байт. Упакована с помощью UPX. Распакованный размер — около 120 КБ. Написана на языке Delphi.

Инсталляция

Данный троянец инсталлируется в систему при помощи другой троянской программы.

Деструктивная активность

Библиотека проверяет имя процесса, к которому она загружена, если имя процесса — Explorer.exe, то выполняются следующие действия:

* библиотека загружает себя и входит в цикл обработки сообщений;

* завершает процесс, идентификатор которого находится в первых четырех байтах разделяемой области памяти (FileMapping) с именем «sTT1FileMap»;

* ищет в системе окна с именами классов:

      Lineage Windows Client
      serverListWnd

И получает значения, введенные в этих окнах.

Если имя процесса — verclsid.exe, библиотека завершает работу.

Для остальных процессов библиотека запускает на выполнение файл:

%WinDir%\loadfiles.exe

Если имя процесса, к которому подгружена библиотека, одно из следующих:

      * IEXPLORE.EXE
      * Lineage.exe
      * Lin.bin
  

То троянец устанавливает в системе перехватчики событий от мыши и клавиатуры, которые ищут в системе окна браузера Internet Explorer и получают данные, введенные в элементах управления input со следующими идентификаторами:

ddlServiceCode
login
passwd
tbGoodLockID
tbMainAccountID
tbMainAccountPassword
tbPasswordConfirm
tbPersonalID
tbServiceAccountID
X_tbPassword

Собранные данные троянец сохраняет в файле

c:\t1game.txt

И передает их на сайт злоумышленника.