CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Trojan-Spy.Win32.SCKeyLog

Date de la détection 11/02/2006
Classe Trojan-Spy
Plateforme Win32
Description

Une fois lancé, le cheval de Troie effectue les actions suivantes:

  • Il extrait les fichiers de son corps et les enregistre dans le système comme:
     % System% secsrvrc.exe 

    (29 184 octets, détecté par Kaspersky Anti-Virus comme "Trojan-Spy.Win32.SCKeyLog.au")

     % System% secsrvrc.dll 

    (15 360 octets, détecté par Kaspersky Anti-Virus comme "Trojan-Spy.Win32.SCKeyLog.at") Les fichiers sont créés avec les attributs "hidden" et "system".

  • Il enregistre la bibliothèque extraite dans le registre système en créant les clés suivantes:
    
    
    
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysecsrvrc]
    
    
    
    "DllName" = "secsrvrc.dll"
    
    
    
    "Asynchrone" = "0"
    
    
    
    "Impersonate" = "0"
    
    
    
    "Lock" = "WLELock"
    
    
    
    "Déconnexion" = "WLELogoff"
    
    
    
    "Connexion" = "WLELogon"
    
    
    
    "Shutdown" = "WLEShutdown"
    
    
    
    "StartScreenSaver" = "WLEStartScreenSaver"
    
    
    
    "Startup" = "WLEStartup"
    
    
    
    "StopScreenSaver" = "WLEStopScreenSaver"
    
    
    
    "Déverrouiller" = "WLEUnlock"
    
    
    
    

    La bibliothèque "secsrvrc.dll" extraite est donc automatiquement chargée dans l'espace d'adressage du processus "WINLOGON.EXE" chaque fois que le système est redémarré. En réponse aux différents événements qui se déroulent dans le système (connexion de l'utilisateur, déconnexion, etc.), le cheval de Troie appellera les fonctions correspondantes de la bibliothèque "secsrvrc.dll".

  • Pour s'assurer que le fichier précédemment extrait "secsrvrc.exe" est lancé automatiquement chaque fois que le système est redémarré, la clé de registre système suivante est créée:
    
    
    
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    
    
    
    "secsrvrc" = "% System% secsrvrc.exe"
    
    
    
    
  • Il lance le fichier "secsrvrc.exe" pour l'exécution.

Le cheval de Troie cesse alors de fonctionner.

Lors de l'exécution, le cheval de Troie enregistre son journal dans le fichier suivant:

 % Temp% LogFile.Log 

Le contenu de ce journal est envoyé à l'utilisateur malveillant par courrier électronique.

Une fois lancé, le processus "secsrvrc.exe" effectue les actions suivantes:

  • Si l'ordinateur infecté exécute Windows 9x, le cheval de Troie masque son processus en utilisant la fonction non documentée "RegisterServiceProcess".
  • Il appelle les fonctions suivantes à partir de la bibliothèque "% System% secsrvrc.dll":
    
    
    
    SetLOpt
    
    
    
    StartL
    
    
    
    

Lien vers l'original