Trojan-PSW.Win32. Lmir.a

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя.

Троянская программа-шпион, предназначенная для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл). Размер зараженных файлов варьируется от 147 до 171 КБ. Упакована при помощи AsPack. Написана на Delphi.

Инсталляция

При запуске троянец копирует себя в корневой каталог Windows («%WinDir%») под следующими именами, зависящими от его модификации:

internet.exe
winsys.exe

Также в зависимости от модификации вирус добавляет ссылку на свой файл в один из ключей автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winsys" = "%WinDir%\winsys.exe"

или

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Internet" = "%WinDir%\internet.exe"

Таким образом, при каждом последующем старте системы троянец запускается автоматически.

Деструктивная активность

Троянец представляет собой программу, ворующую пароли к популярной online-игре «Legend of Mir 2». Вирус ищет в системе окна с заголовком «legend of mir2» и похищает вводимые в них пользователем имя учетной записи и пароль.

Собранную информацию троянец отсылает на один из почтовых адресов злоумышленника:

***yahuu@163.net
dong****@163.com 
friend***@peoplemail.com.cn

Для отправки почты используются следующие SMTP-сервера:

smtp.163.com
smtp.peoplemail.com.cn

Другие названия

Trojan-PSW.Win32.Lmir.a («Лаборатория Касперского») также известен как: Trojan.PSW.Lmir.a («Лаборатория Касперского»), PWS-LegMir (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Legmir (Doctor Web), Troj/PWS-AD (Sophos), PWS:Win32/Legendmir.A (RAV), TROJ_LEMIR.A (Trend Micro), TR/Lmir.a (H+BEDV), Win32:Trojan-gen. (ALWIL), PSW.Legendmir.3.C (Grisoft), Trojan.PSW.Lmir.a (SOFTWIN), Trojan Horse.LC (Panda), Win32/PSW.Legendmir.A (Eset)