Trojan-PSW.Win32.Lineage.ha

Программа, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер около 68 КБ, упакована ASPack. Размер распакованного файла около 81 КБ.

Trojan-PSW.Win32.Lineage.ha («Лаборатория Касперского») также известен как: DR/Lineage.GY.1 (H+BEDV), Trojan.Spy.Lineage-10 (ClamAV)

Программа, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер около 68 КБ, упакована ASPack. Размер распакованного файла около 81 КБ.

Инсталляция

При инсталляции троянец копирует себя в каталог %Program Files%, используя одно из следующих имен:


%Program Files%\Internat.exe 
%Program Files%\rundll32.exe 
%Program Files%\svhost32.exe

Затем регистрирует этот файл в ключе автозапуска системного реестра:


[HKCU\Software\Microsoft\Windows NT\
CurrentVersion\Windows]
 "load"="%Program Files%\svhost32.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец создает следующий файл в системном каталоге Windows:

%System%\T1dll.dll

Действия

Троянец собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов).

Полученная информация отсылается злоумышленнику по электронной почте.

Также Lineage.ha выгружает из системы процессы, содержащие в именах следующие строки:


Eghost.exe
Iparmor.exe
Kavpfw.exe
Mailmon.exe
Ravmon.exe