Troj_LegMir-Y
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 97280 Octet(s)
Détails techniques:
Le troyen dérobe des informations utilisateurs relatives au jeu de rôles en ligne multi-joueurs appelé Lineage.
Il récupère ainsi des informations tels que le profil du joueur, et les enregistre à la racine du disque (C:\) dans un fichier nommé "GAMECT1.TXT". Il s'envoie ensuite aux autres utilisateurs par courriel en utilisant l'adresse de messagerie tw@twavgirl.com.
Pour éviter d'être détecté, il termine les processus suivants :
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
PASSWORDGUARD.EXE
RAVMON.EXE
ZONEALARM.EXE
Il copie sur C:\ les fichiers Windows originaux rundll32.exe provenant du dossier Windows et internat.exe du dossier système Windows, puis les remplace par lui-même.
Il se copie également dans le dossier Windows Program Files sous le nom "explorer.exe".
Dans le but d'être exécuté automatiquement à l'ouverture d'une session utilisateur, il créait dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
sysMett1
C:\Program Files\explorer.exe
LegMir-Y dépose également un fichier d'aide .dll dans le dossier système Windows sous le nom de htdll.dll et le charge.
Taille: 97280 Octet(s)
Détails techniques:
Le troyen dérobe des informations utilisateurs relatives au jeu de rôles en ligne multi-joueurs appelé Lineage.
Il récupère ainsi des informations tels que le profil du joueur, et les enregistre à la racine du disque (C:\) dans un fichier nommé "GAMECT1.TXT". Il s'envoie ensuite aux autres utilisateurs par courriel en utilisant l'adresse de messagerie tw@twavgirl.com.
Pour éviter d'être détecté, il termine les processus suivants :
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
PASSWORDGUARD.EXE
RAVMON.EXE
ZONEALARM.EXE
Il copie sur C:\ les fichiers Windows originaux rundll32.exe provenant du dossier Windows et internat.exe du dossier système Windows, puis les remplace par lui-même.
Il se copie également dans le dossier Windows Program Files sous le nom "explorer.exe".
Dans le but d'être exécuté automatiquement à l'ouverture d'une session utilisateur, il créait dans le registre l'entrée suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
sysMett1
C:\Program Files\explorer.exe
LegMir-Y dépose également un fichier d'aide .dll dans le dossier système Windows sous le nom de htdll.dll et le charge.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
