Troj_Lineage-S

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 50688 Octet(s)

Détails techniques:

Quand il est exécuté, Lineage-S se copie, sous Windows NT/2000/XP, sous le nom :

%System%\Explorer.exe

Afin d'être lancé à chaque démarrage de Windows, Lineage-S ajoute l'entrée de registre :

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%System%\explorer.exe"

Sous Windows 9x/Me, il se copie ici :

%System%\internet.exe
%Windir%\rundll32.exe


N.B.1 : Lineage-S détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de C:\Windows\System et sous XP : C:\Windows\System32.

N.B.2 : %Windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.

Lineage-S dépose un composant DLL (Dynamic Link Library) du nom de "htdll.dll". Ce composant DLL est utilisé pour voler les mots de passe et autres informations confidentielles sur la machine infectée.

Lineage-S crée le fichier texte "C:\GaMeJTT1.TXT" afin d'enregistrer des informations relatives à certaines applications, particulièrement en rapport avec les jeu "Lineage". Le cheval de Troie enregistre : les mouvements de la souris et les touches entrées au clavier relatifs à la fenêtre du jeu. Des donnéees, telles que les noms d'utilisateurs et les mots de passe sont aussi sauvegardées dans le fichier texte.
Il est possible que le malware envoie ce fichier par e-mail à une adresse spécifique.

Lineage-S permet le téléchargement et l'exécution d'un fichier, sur l'ordinateur infecté, depuis le domaine "abc.com". Ce fichier est alors enregistré dans le même répertoire que celui du malware ; ce fichier est exécuté sous le nom "d1.exe".

Lineage-S ferme les process suivants :

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE


Lineage-S ferme les applications portant les titres :

RavMon.exe
ZoneAlarm


Lineage-S ferme les applications portant des titres d'antivirus Chinois (voir captures d'écran)

Capture(s) d'écran:

Lineage-S



http://www.liens-utiles.org/