Trojan-GameThief.Win32.Nilage.agi

Технические детали

Троянская программа, ворующая пароли пользователя. Предназначена для кражи учетных записей на игровых серверах Lineage. Является библиотекой Windows DLL. Размер файла 48640 байт. Упакована с помощью UPX. Распакованный размер — около 120 КБ. Написана на языке Delphi.

Инсталляция

Данный троянец инсталлируется в систему при помощи другой троянской программы.

Деструктивная активность

Библиотека проверяет имя процесса, к которому она загружена, если имя процесса — Explorer.exe, то выполняются следующие действия:

• библиотека загружает себя и входит в цикл обработки сообщений;
• завершает процесс, идентификатор которого находится в первых четырех байтах разделяемой области памяти (FileMapping) с именем «sTT1FileMap»;
• ищет в системе окна с именами классов:
  Lineage Windows Client
  serverListWnd
  И получает значения, введенные в этих окнах.

Если имя процесса — verclsid.exe, библиотека завершает работу.

Для остальных процессов библиотека запускает на выполнение файл:

%WinDir%\loadfiles.exe

Если имя процесса, к которому подгружена библиотека, одно из следующих:

• IEXPLORE.EXE
• Lineage.exe
• Lin.bin

То троянец устанавливает в системе перехватчики событий от мыши и клавиатуры, которые ищут в системе окна браузера Internet Explorer и получают данные, введенные в элементах управления input со следующими идентификаторами:

ddlServiceCode
login
passwd
tbGoodLockID
tbMainAccountID
tbMainAccountPassword
tbPasswordConfirm
tbPersonalID
tbServiceAccountID
X_tbPassword

Собранные данные троянец сохраняет в файле

c:\t1game.txt

И передает их на сайт злоумышленника.

Рекомендации по удалению

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл:

   c:\t1game.txt

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).