Vírushíradó – Játékosan gyűjt adatokat a Lolyda trójai
A Lolyda trójai elsősorban az online játékokat kedvelő felhasználók bizalmas adatait veszélyezteti.
A Lolyda trójai bizalmas információkat igyekszik megszerezni. Elsősorban online játékokhoz tartozó felhasználóneveket és jelszavakat próbál összegyűjteni, majd továbbítani a támadók szervereire. A trójai a billentyűleütéseket kíséri figyelemmel, és ezek alapján naplózza a megadott értékes adatokat. A kártevő számos fájlt hoz létre a fertőzött számítógépeken, majd azokon rendszerfolyamatokat fertőz meg. Egy windowsos szolgáltatás létrehozása után kezdi el figyelni a felhasználó tevékenységét. Végül online játékokhoz tartozó folyamatokat állít le, és további kártékony fájlokat tölt le az Interneten keresztül.
Amikor a Lolyda trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\lyloader.exe
%System%\lymangr.exe
%System%\msdeg32.exe
%System%\mhxy.exe
%System%\SHQ.dll
%System%\SHQMANGR.dll
%System%\LYloader.exe
%Temp%\lyloader.exe
%Temp%\lymangr.exe
%Temp%\msdeg32.exe
%Temp%\tru2068.tmp - A regisztrációs adatbázis
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
kulcsához hozzáadja a következő bejegyzések valamelyikét:
MSDEG32 = “LYLoader.exe”
MSDWG32 = “LYLoadbr.exe”
MSDCG32 = “LYLeador.exe”
MSDOG32 = “LYLoador.exe”
MSDSG32 = “LYLoadar.exe”
MSDMG32 = “LYLoadmr.exe”
MSDHG32 = “LYLoadhr.exe”
MSDQG32 = “LYLoadqr.exe” - Létrehoz egy %Temp%\OPE206A.bat nevű állományt, melynek segítségével letörli az eredeti fájljait.
- A %System%\drivers\HBKernel.sys állomány felhasználásával egy windowsos szolgáltatást hoz létre.
- Módosítja a regisztrációs adatbázis következő kulcsát:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs - Folyamatosan monitorozza a billentyűleütéseket, és online játékokhoz tartozó felhasználóneveket, illetve jelszavakat próbál megszerezni.
- Az összegyűjtött információkat feltölti előre meghatározott szerverekre.
- Kártékony fájlokat tölt le az Interneten keresztül.
- Windowsos rendszerfolyamatokat (pl.: explorer.exe) fertőz meg.
- Online játékokhoz tartozó folyamatokat állít le.
- Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.