Программа, относящаяся к семейству троянцев, похищающих пароли пользователя.
Инсталляция
При запуске троянец копирует свой исполняемый файл в следующий каталог:
%Program Files%\rundll32.exe
Также извлекает из своего тела библиотеку размером 42496 байт:
%System%\ct1dll.dll
С целью автоматического запуска при каждом последующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "loadMect1" = "<путь до исполняемого файла троянца>"
Деструктивная активность
После инфицирования компьютера вирус отсылает соответствующее уведомление на электронную почту злоумышленника:
**@webshell.cn
Троянец следит за клавиатурным вводом пользователя в окне с заголовком «Lineage Windows Client» и похищает данные учетной записи — имя пользователя и пароль — к онлайн-игре «Lineage».
Собранную информацию вредоносная программа хранит в файле:
c:\gamect1.txt
Этот файл периодически отправляется на электронный адрес злоумышленника.
Также троянец завершает следующие процессы в системе:
KVMonXP.KXP
KVXP.KXP
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
RavMon.exe
PasswordGuard.exe
Другие названия
Trojan-PSW.Win32.Nilage.a («Лаборатория Касперского») также известен как: Trojan.PSW.Lineage.a («Лаборатория Касперского»), Trojan-PSW.Win32.Lineage.a («Лаборатория Касперского»), Trojan Horse (Symantec), Trojan.PWS.Lineage (Doctor Web), TROJ_LINEAGE.A (Trend Micro), Trojan.Lmir-48 (ClamAV), Trojan Horse (Panda)