Hauptgruppierung: TrojWare
Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.
Kategorie: Trojan-PSW
Trojan-PSW-Programme dienen dazu, Benutzerkontoinformationen wie Logins und Kennwörter von infizierten Computern zu stehlen. PSW ist eine Abkürzung für Password Stealing Ware.Beim Start durchsucht ein PSW-Trojaner Systemdateien, die eine Reihe von vertraulichen Daten oder die Registrierung speichern. Wenn solche Daten gefunden werden, sendet der Trojaner sie an ihren "Master". E-Mail, FTP, das Web (einschließlich Daten in einer Anfrage) oder andere Methoden können verwendet werden, um die gestohlenen Daten zu übertragen.
Einige solcher Trojaner stehlen auch Registrierungsinformationen für bestimmte Softwareprogramme.
Mehr Informationen
Plattform: Win32
Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.Beschreibung
Technische Details
Dies ist ein Passwort und WebMoney-Information stehlen Trojaner-Programm mit der Fähigkeit, seine "Upgrades" von Internet-Websites herunterladen und sich durch seine neuen Versionen zu ersetzen. Der Trojaner wurde in Freeware-Games-Pakete implementiert und im Mai 2001 auf diese Weise verbreitet.
Da sich der Trojaner von Internetwebsites "upgraden" kann, sind die folgenden Informationen möglicherweise nicht vollständig korrekt für noch unbekannte Trojanerversionen.
Installation
Wenn der Trojaner ausgeführt wird, kopiert er sich mit dem Namen TASKSVR32.EXE in das Windows-Systemverzeichnis und registriert sich im Registrierungsschlüssel für die Registrierungsautorisierung:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task-Manager = tasksvr32.exe
Wenn beim Erstellen dieses Schlüssels ein Fehler auftritt (der aktuelle Benutzer hat keinen Zugriff auf HKLM-Schlüssel), registriert sich der Trojaner im Schlüssel HKCU:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoft Task-Manager = tasksvr32.exe
Der Trojaner erstellt dann im Windows-Systemverzeichnis den DLL-Dateihelfer COOLX.DLL. Die ursprüngliche Trojaner-Datei (von der der Trojaner gestartet wurde) wird dann gelöscht.
Der Trojaner erstellt auch weitere Registrierungsschlüssel und schreibt hexadezimale Werte dort:
HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =% hex valie%; Diese vier Schlüssel sind
DRMInstallPlace =% hex valie%; Systemzeit beim Trojaner
DRMUpdateFocus =% hex valie%; installiert sich selbst
DRMUpdatePlace =% hex valie%; zum System
DRMVersion =% hex valie%; Trojaner-Version
Der Trojaner bleibt dann als versteckter Dienstprozess im Windows-Speicher und ist bis zum Neustart von Windows aktiv.
Gestohlene Informationen
Der Trojaner sendet seinem Autor die folgenden Informationen von einem infizierten Computer:
Computername
Nutzername
RegisteredOwner- und RegisteredOrganization-Zeichenfolgen
Installierte Hardwareinformationen
Netzwerkressourcen mit Zugriffsmodus
IP Adresse
RAS-Informationen, zwischengespeicherte Kennwörter
andere Internet-Zugangsdaten und Passwörter
ICQ Benutzerinformationen
WebMoney Informationen und Datendateien
Aktualisierung
Abhängig von verschiedenen Bedingungen ruft der Trojaner Dateien von Internet-Sites ab, lädt sie in das temporäre Windows-Verzeichnis mit dem Namen RTTY32.EXE und erstellt ihn. Diese Dateien sind die nächsten Trojaner-Versionen und haben möglicherweise eine verbesserte Funktionalität.
Bekannte Trojanerversionen laden Dateien von den folgenden Seiten herunter:
sfavp.chat.ru/update
widpage.chat.ru/update
Andere
Einige bekannte Versionen auch:
http://vrs.ru
http://ebooks.vov.ru
http://3.ozonebooks.com
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com