Információkat gyűjt a Lingling trójai

A Lingling.B nevű trójai legfőbb feladata, hogy az Internet Explorer és a World of Warcraft mögé elrejtőzve bizalmas adatokat, illetve rendszerinformációkat gyűjtsön össze.

A Lingling.B felismerése víruskereső szoftverek nélkül meglehetősen nehézkes, ugyanis a kártékony program olyan jól ismert szoftverek mögé igyekszik elrejtőzni, mint például az Internet Explorer vagy a World of Warcraft. Amennyibe ez sikerül neki, akkor a háttérben megbújva végzi a feladatát. A trójai célja, hogy minél több bizalmas adatot és rendszerinformációt gyűjtsön össze a fertőzött számítógépekről. Elsősorban a következő adatokra vadászik:
– felhasználónevek és jelszavak
– IP címek
– az operációs rendszerrel összefüggő információk.

Amikor a Lingling.B trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\~.exe
%Temp%\svchost.exe
%Temp%\g0ld.com
C:\WINDOWS\chenzi.exe
%System%\bdscheca001.dll

2. Leállítja az alábbi folyamatot, amennyiben az fut:
QQLiveUpdate.exe

3. Letörli a következő állományt:
%System%\drivers\etc\Hosts

4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9C0CFA58-3A 6F-51ba-9EFE-5320F4F621BA}\InProcServer32″(Default)” = “%System%\bdscheca001.dll”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Explorer\ShellExecuteHooks\{9C0CFA58-3A6F-51ba-9EFE -5320F4F621BA}

5. Folyamatosan figyeli az Internet Explorer aktivitását és a World of Warcrafthoz tartozó ablakok esetleges jelenlétét.

6. Amennyiben a World of Warcraft fut a számítógépen, akkor megpróbál felhasználóneveket, jelszavakat, rendszerinformációkat és IP címeket szerezni.

7. Az összegyűjtött információkat egy távoli szerverre továbbítja.