A Lolyda trójai elsősorban az online játékokat kedvelő felhasználók bizalmas adatait veszélyezteti.

A Lolyda trójai bizalmas információkat igyekszik megszerezni. Elsősorban online játékokhoz tartozó felhasználóneveket és jelszavakat próbál összegyűjteni, majd továbbítani a támadók szervereire. A trójai a billentyűleütéseket kíséri figyelemmel, és ezek alapján naplózza a megadott értékes adatokat. A kártevő számos fájlt hoz létre a fertőzött számítógépeken, majd azokon rendszerfolyamatokat fertőz meg. Egy windowsos szolgáltatás létrehozása után kezdi el figyelni a felhasználó tevékenységét. Végül online játékokhoz tartozó folyamatokat állít le, és további kártékony fájlokat tölt le az Interneten keresztül.

Vírushíradó - Játékosan gyűjt adatokat a Lolyda trójai

Amikor a Lolyda trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\lyloader.exe
    %System%\lymangr.exe
    %System%\msdeg32.exe
    %System%\mhxy.exe
    %System%\SHQ.dll
    %System%\SHQMANGR.dll
    %System%\LYloader.exe
    %Temp%\lyloader.exe
    %Temp%\lymangr.exe
    %Temp%\msdeg32.exe
    %Temp%\tru2068.tmp
  2. A regisztrációs adatbázis
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
    kulcsához hozzáadja a  következő bejegyzések valamelyikét:
    MSDEG32 = “LYLoader.exe”
    MSDWG32 = “LYLoadbr.exe”
    MSDCG32 = “LYLeador.exe”
    MSDOG32 = “LYLoador.exe”
    MSDSG32 = “LYLoadar.exe”
    MSDMG32 = “LYLoadmr.exe”
    MSDHG32 = “LYLoadhr.exe”
    MSDQG32 = “LYLoadqr.exe”
  3. Létrehoz egy %Temp%\OPE206A.bat nevű állományt, melynek segítségével letörli az eredeti fájljait.
  4. A %System%\drivers\HBKernel.sys állomány felhasználásával egy windowsos szolgáltatást hoz létre.
  5. Módosítja a regisztrációs adatbázis következő kulcsát:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
  6. Folyamatosan monitorozza a billentyűleütéseket, és online játékokhoz tartozó felhasználóneveket, illetve jelszavakat próbál megszerezni.
  7. Az összegyűjtött információkat feltölti előre meghatározott szerverekre.
  8. Kártékony fájlokat tölt le az Interneten keresztül.
  9. Windowsos rendszerfolyamatokat (pl.: explorer.exe) fertőz meg.
  10. Online játékokhoz tartozó folyamatokat állít le.
  11. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.