Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 97280 Octet(s)
Détails techniques:
Le troyen dérobe des informations utilisateurs relatives au jeu de rôles en ligne multi-joueurs appelé Lineage.
Il récupère ainsi des informations tels que le profil du joueur, et les enregistre à la racine du disque (C:\) dans un fichier nommé "GAMECT1.TXT". Il s'envoie ensuite aux autres utilisateurs par courriel en utilisant l'adresse de messagerie tw@twavgirl.com.
Pour éviter d'être détecté, il termine les processus suivants :
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
PASSWORDGUARD.EXE
RAVMON.EXE
ZONEALARM.EXE
Il copie sur C:\ les fichiers Windows originaux rundll32.exe provenant du dossier Windows et internat.exe du dossier système Windows, puis les remplace par lui-même.
Il se copie également dans le dossier Windows Program Files sous le nom "explorer.exe".
Dans le but d'être exécuté automatiquement à l'ouverture d'une session utilisateur, il créait dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
sysMett1
C:\Program Files\explorer.exe
LegMir-Y dépose également un fichier d'aide .dll dans le dossier système Windows sous le nom de htdll.dll et le charge.