Программа, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер около 68 КБ, упакована ASPack. Размер распакованного файла около 81 КБ.
Программа, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер около 68 КБ, упакована ASPack. Размер распакованного файла около 81 КБ.
Инсталляция
При инсталляции троянец копирует себя в каталог %Program Files%, используя одно из следующих имен:
%Program Files%\Internat.exe %Program Files%\rundll32.exe %Program Files%\svhost32.exe
Затем регистрирует этот файл в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows NT\ CurrentVersion\Windows] "load"="%Program Files%\svhost32.exe"
При каждой следующей загрузке Windows автоматически запустит файл-троянец.
Также троянец создает следующий файл в системном каталоге Windows:
%System%\T1dll.dll
Действия
Троянец собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов).
Полученная информация отсылается злоумышленнику по электронной почте.
Также Lineage.ha выгружает из системы процессы, содержащие в именах следующие строки:
Eghost.exe Iparmor.exe Kavpfw.exe Mailmon.exe Ravmon.exe
Собираем и анализируем опыт профессионалов ИБ