Vírushíradó – Játékosan gyűjt adatokat a Lolyda trójai

A Lolyda trójai elsősorban az online játékokat kedvelő felhasználók bizalmas adatait veszélyezteti.

A Lolyda trójai bizalmas információkat igyekszik megszerezni. Elsősorban online játékokhoz tartozó felhasználóneveket és jelszavakat próbál összegyűjteni, majd továbbítani a támadók szervereire. A trójai a billentyűleütéseket kíséri figyelemmel, és ezek alapján naplózza a megadott értékes adatokat. A kártevő számos fájlt hoz létre a fertőzött számítógépeken, majd azokon rendszerfolyamatokat fertőz meg. Egy windowsos szolgáltatás létrehozása után kezdi el figyelni a felhasználó tevékenységét. Végül online játékokhoz tartozó folyamatokat állít le, és további kártékony fájlokat tölt le az Interneten keresztül.

Amikor a Lolyda trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\lyloader.exe
   %System%\lymangr.exe
   %System%\msdeg32.exe
   %System%\mhxy.exe
   %System%\SHQ.dll
   %System%\SHQMANGR.dll
   %System%\LYloader.exe
   %Temp%\lyloader.exe
   %Temp%\lymangr.exe
   %Temp%\msdeg32.exe
   %Temp%\tru2068.tmp
2. A regisztrációs adatbázis
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
   kulcsához hozzáadja a  következő bejegyzések valamelyikét:
   MSDEG32 = “LYLoader.exe”
   MSDWG32 = “LYLoadbr.exe”
   MSDCG32 = “LYLeador.exe”
   MSDOG32 = “LYLoador.exe”
   MSDSG32 = “LYLoadar.exe”
   MSDMG32 = “LYLoadmr.exe”
   MSDHG32 = “LYLoadhr.exe”
   MSDQG32 = “LYLoadqr.exe”
3. Létrehoz egy %Temp%\OPE206A.bat nevű állományt, melynek segítségével letörli az eredeti fájljait.
4. A %System%\drivers\HBKernel.sys állomány felhasználásával egy windowsos szolgáltatást hoz létre.
5. Módosítja a regisztrációs adatbázis következő kulcsát:
   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
6. Folyamatosan monitorozza a billentyűleütéseket, és online játékokhoz tartozó felhasználóneveket, illetve jelszavakat próbál megszerezni.
7. Az összegyűjtött információkat feltölti előre meghatározott szerverekre.
8. Kártékony fájlokat tölt le az Interneten keresztül.
9. Windowsos rendszerfolyamatokat (pl.: explorer.exe) fertőz meg.
10. Online játékokhoz tartozó folyamatokat állít le.
11. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.