CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS. Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.
Solutions pour:
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Vulnérabilités Menaces
Accueil Menaces Trojan-Spy Win32

Trojan-Spy.Win32.SCKeyLog

Detect date
11/02/2006
Classe
Trojan-Spy
Plateforme
Win32

Classe pour les parents: TrojWare

Les chevaux de Troie sont des programmes malveillants qui exécutent des actions qui ne sont pas autorisées par l'utilisateur: ils suppriment, bloquent, modifient ou copient les données et perturbent les performances des ordinateurs ou des réseaux informatiques. Contrairement aux virus et aux vers, les menaces qui tombent dans cette catégorie sont incapables de se reproduire ou de s'autoreproduire. Les chevaux de Troie sont classés en fonction du type d'action qu'ils effectuent sur un ordinateur infecté.

Classe: Trojan-Spy

Les programmes Trojan-Spy sont utilisés pour espionner les actions d'un utilisateur (suivre les données saisies au clavier, faire des captures d'écran, récupérer une liste d'applications en cours, etc.). Les informations récoltées sont ensuite transmises à l'utilisateur malveillant. Email, FTP, le web (y compris les données dans une demande) et d'autres méthodes peuvent être utilisés pour transmettre les données.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

Une fois lancé, le cheval de Troie effectue les actions suivantes:

  • Il extrait les fichiers de son corps et les enregistre dans le système comme: 
     % System% secsrvrc.exe
    (29 184 octets, détecté par Kaspersky Anti-Virus comme "Trojan-Spy.Win32.SCKeyLog.au") 
     % System% secsrvrc.dll
    (15 360 octets, détecté par Kaspersky Anti-Virus comme "Trojan-Spy.Win32.SCKeyLog.at") Les fichiers sont créés avec les attributs "hidden" et "system".
  • Il enregistre la bibliothèque extraite dans le registre système en créant les clés suivantes: 
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysecsrvrc]"DllName" = "secsrvrc.dll""Asynchrone" = "0""Impersonate" = "0""Lock" = "WLELock""Déconnexion" = "WLELogoff""Connexion" = "WLELogon""Shutdown" = "WLEShutdown""StartScreenSaver" = "WLEStartScreenSaver""Startup" = "WLEStartup""StopScreenSaver" = "WLEStopScreenSaver""Déverrouiller" = "WLEUnlock"
    La bibliothèque "secsrvrc.dll" extraite est donc automatiquement chargée dans l'espace d'adressage du processus "WINLOGON.EXE" chaque fois que le système est redémarré. En réponse aux différents événements qui se déroulent dans le système (connexion de l'utilisateur, déconnexion, etc.), le cheval de Troie appellera les fonctions correspondantes de la bibliothèque "secsrvrc.dll".
  • Pour s'assurer que le fichier précédemment extrait "secsrvrc.exe" est lancé automatiquement chaque fois que le système est redémarré, la clé de registre système suivante est créée: 
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]"secsrvrc" = "% System% secsrvrc.exe"
  • Il lance le fichier "secsrvrc.exe" pour l'exécution.
Le cheval de Troie cesse alors de fonctionner.

Lors de l'exécution, le cheval de Troie enregistre son journal dans le fichier suivant: 

 % Temp% LogFile.Log
Le contenu de ce journal est envoyé à l'utilisateur malveillant par courrier électronique.

Une fois lancé, le processus "secsrvrc.exe" effectue les actions suivantes:

  • Si l'ordinateur infecté exécute Windows 9x, le cheval de Troie masque son processus en utilisant la fonction non documentée "RegisterServiceProcess".
  • Il appelle les fonctions suivantes à partir de la bibliothèque "% System% secsrvrc.dll": 
    SetLOptStartL

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com

Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !
Kaspersky IT Security Calculator:
Calculez le profil de sécurité de votre entreprise
Apprendre encore plus
Kaspersky!
Votre vie en ligne mérite une protection complète!
Apprendre encore plus
Related articles
17 April 2025
Securelist
IronHusky updates the forgotten MysterySnail RAT to target Russia and Mongolia
16 April 2025
Securelist
Streamlining detection engineering in security operation centers
10 April 2025
Securelist
GOFFEE continues to attack organizations in Russia
08 April 2025
Securelist
Attackers distributing a miner and the ClipBanker Trojan via SourceForge
07 April 2025
Securelist
How ToddyCat tried to hide behind AV software
04 April 2025
Securelist
A journey into forgotten Null Session and MS-RPC interfaces, part 2
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Vous avez découvert une nouvelle menace ou vulnérabilité ?
Si vous avez découvert une nouvelle menace ou vulnérabilité, veuillez nous en informer par e-mail :
newvirus@kaspersky.com
Solutions pour
Particuliers
Petites entreprises
Moyennes entreprises
Grandes entreprises
Select language
Sorting
Menace
Confirm changes?
Your message has been sent successfully.