Trojan-PSW.Win32. Nilage.a

Программа, относящаяся к семейству троянцев, похищающих пароли пользователя.

Программа, относящаяся к семейству троянцев, похищающих пароли пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 52925 байт. Упакована при помощи FSG.

Инсталляция

При запуске троянец копирует свой исполняемый файл в следующий каталог:

%Program Files%\rundll32.exe

Также извлекает из своего тела библиотеку размером 42496 байт:

%System%\ct1dll.dll

С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"loadMect1" = "<путь до исполняемого файла троянца>"

Деструктивная активность

После инфицирования компьютера вирус отсылает соответствующее уведомление на электронную почту злоумышленника:

**@webshell.cn

Троянец следит за клавиатурным вводом пользователя в окне с заголовком «Lineage Windows Client» и похищает данные учетной записи — имя пользователя и пароль — к онлайн-игре «Lineage».

Собранную информацию вредоносная программа хранит в файле:

c:\gamect1.txt

Этот файл периодически отправляется на электронный адрес злоумышленника.

Также троянец завершает следующие процессы в системе:

KVMonXP.KXP
KVXP.KXP
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
RavMon.exe
PasswordGuard.exe

Другие названия

Trojan-PSW.Win32.Nilage.a («Лаборатория Касперского») также известен как: Trojan.PSW.Lineage.a («Лаборатория Касперского»), Trojan-PSW.Win32.Lineage.a («Лаборатория Касперского»), Trojan Horse (Symantec), Trojan.PWS.Lineage (Doctor Web), TROJ_LINEAGE.A (Trend Micro), Trojan.Lmir-48 (ClamAV), Trojan Horse (Panda)