Trojan-PSW.Win32. Lmir.a

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя.

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 147 до 171 КБ. Упакована при помощи AsPack. Написана на Delphi.

Инсталляция

При запуске троянец копирует себя в корневой каталог Windows («%WinDir%») под следующими именами, зависящими от его модификации:

internet.exe
winsys.exe

Также в зависимости от модификации вирус добавляет ссылку на свой файл в один из ключей автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winsys" = "%WinDir%\winsys.exe"

или

 [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
 "Internet" = "%WinDir%\internet.exe"
 

Таким образом, при каждом последующем старте системы троянец запускается автоматически.

Деструктивная активность

Троянец представляет собой программу, ворующую пароли к популярной online-игре «Legend of Mir 2». Вирус ищет в системе окна с заголовком «legend of mir2» и похищает вводимые в них пользователем имя учетной записи и пароль.

Собранную информацию троянец отсылает на один из почтовых адресов злоумышленника:

 ***yahuu@163.net
 dong****@163.com 
 friend***@peoplemail.com.cn

Для отправки почты используются следующие SMTP-сервера:

 smtp.163.com
 smtp.peoplemail.com.cn

Другие названия

Trojan-PSW.Win32.Lmir.a («Лаборатория Касперского») также известен как: Trojan.PSW.Lmir.a («Лаборатория Касперского»), PWS-LegMir (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Legmir (Doctor Web), Troj/PWS-AD (Sophos), PWS:Win32/Legendmir.A (RAV), TROJ_LEMIR.A (Trend Micro), TR/Lmir.a (H+BEDV), Win32:Trojan-gen. (ALWIL), PSW.Legendmir.3.C (Grisoft), Trojan.PSW.Lmir.a (SOFTWIN), Trojan Horse.LC (Panda), Win32/PSW.Legendmir.A (Eset)