RSS-каналы
Уровень опасности: 1
Trojan-GameThief.Win32.Nilage.a
| Время детектирования | 31 авг 2007 17:04 MSK |
| Время выпуска обновления | 27 июн 2008 02:56 MSK |
| Описание опубликовано | 31 авг 2007 17:04 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 52925 байт. Упакована при помощи FSG.
Инсталляция
При запуске троянец копирует свой исполняемый файл в следующий каталог:
%Program Files%\rundll32.exe
Также извлекает из своего тела библиотеку размером 42496 байт:
%System%\ct1dll.dll
С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "loadMect1" = "<путь до исполняемого файла троянца>"
Деструктивная активность
После инфицирования компьютера вирус отсылает соответствующее уведомление на электронную почту злоумышленника:
**@webshell.cn
Троянец следит за клавиатурным вводом пользователя в окне с заголовком «Lineage Windows Client» и похищает данные учетной записи — имя пользователя и пароль — к онлайн-игре «Lineage».
Собранную информацию вредоносная программа хранит в файле:
c:\gamect1.txt
Этот файл периодически отправляется на электронный адрес злоумышленника.
Также троянец завершает следующие процессы в системе:
KVMonXP.KXP KVXP.KXP EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMOR.EXE RavMon.exe PasswordGuard.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс.
- Удалить оригинальный файл трояна (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметр из ключа системного
реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "loadMect1" = "<путь до исполняемого файла троянца>"
- Удалить файлы:
%Program Files%\rundll32.exe %System32%\ct1dll.dll
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к сетевым играм. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
Trojan-GameThief.
- Trojan-PSW.
Win32. Nilage. a («Лаборатория Касперского») - Trojan-PSW.
Win32. Lineage. a («Лаборатория Касперского») - Trojan.
PSW. Lineage. a («Лаборатория Касперского») - Trojan:
PWS-LegMir. dll (McAfee) - Mal/GamePSW-I (Sophos)
- Trojan.
Delf-1218 (ClamAV) - Trojan Horse (Panda)
- W32/OnlineGames.
B. gen!Eldorado (FPROT) - PWS:
Win32/Lineage (MS(OneCare)) - Trojan.
PWS. Lineage. 3234 (DrWeb) - Win32/PSW.
Lineage. A trojan (Nod32) - DeepScan:
Generic. Lineage. 7E1D836C (BitDef7) - Trojan.
PWS. Nilage. Gen. 3 (VirusBuster) - Win32:
Hewo (AVAST) - Trojan-Dropper.
Delf (Ikarus) - PSW.
OnlineGames3. WJP (AVG) - TR/PSW.
Nilage. A. 2 (AVIRA) - Infostealer.
Lineage (NAV) - W32/Lineage.
BDPP (Norman) - Trojan-GameThief.
Win32. Nilage. a [AVP] (FSecure) - TSPY_LINEAGE.
GEN (TrendMicro)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей