Trojan-GameThief.Win32.Nilage.acn

Технические детали

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage. Является приложением Windows (PE EXE-файл). Написана на Delphi. Размер файла троянца может варьироваться от 68 до 74 КБ.

Инсталляция

После запуска троянец копирует себя в корневой каталог Windows:

Если такой файл уже существует, троянец завершает свою работу.

В противном случае извлекает из своего тела следующий файл:

Этот файл детектируется Антивирусом Касперского как Trojan-PSW.Win32.Lineage.agi.

Создает следующие ключи реестра:

Создает параметр в ключе реестра:

Деструктивная активность

Троянец загружает библиотеку

и вызывает из нее функцию с именем JumpHookOn.

Создает разделяемую область памяти(CreateFileMapping) с системным именем «sTT1FileMap» размером в 4 байта и помещает туда идентификатор своего главного потока.

После этого программа входит в цикл обработки сообщений и ждет сообщения WM_QUIT. По приходу этого сообщения троянец вызывает функцию JumpHookOff из библиотеки msdos32.dll и завершает свою работу.

Рекомендации по удалению

1. При помощи «Диспетчера задач» завершить троянский процесс.
2. Удалить ключи реестра:
   [HKCR\CLSID\{71FB2399-FF7A-4850-9A6E-0C41E4E93417}]
   [HKLM\SOFTWARE\Classes\CLSID\{71FB2399-FF7A-4850-9A6E-0C41E4E93417}]
3. Удалить параметр ключа реестра:
   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
   {71FB2399-FF7A-4850-9A6E-0C41E4E93417}
4. Перезагрузить компьютер.
5. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
6. Удалить следующие файлы:
   %WinDir%\loadfiles.exe
   %WinDir%\msdos32.dll
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).