親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Trojan-Clicker
Trojan-Clickerとして分類されたプログラムは、インターネットリソース(通常はWebページ)にアクセスするように設計されています。これはブラウザに適切なコマンドを送信するか、インターネットリソース(Windowsホストファイルなど)の「標準」アドレスを提供するシステムファイルを置き換えることによって行われます。悪意のあるユーザーは、トロイの木馬 - クリッカープログラムを使用して、オンライン広告のヒット数を増やすために特定のサイトへの訪問数を増加させる可能性があります。特定のサーバーに対するDoS(サービス拒否)攻撃を実行し、潜在的な犠牲者をウイルスやトロイの木馬。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
このトロイの木馬は、インターネットブラウザに指定されたWebページを定期的に読み込みます。これはWindows PE EXEファイルです。実行可能ファイルのサイズは36864バイトです。これは、Visual C ++で書かれています。
ペイロード
起動すると、トロイの木馬は自身をWindowsシステムディレクトリに "winsvc32.exe"としてコピーします。
%System%winsvc32.exe
次に、このファイルをシステムレジストリに登録します。
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"winsvc32.exe" = "%System%winsvc32.exe"
"winsvc32.exe" = "%System%winsvc32.exe"
これにより、Windowsが被害者マシンで起動されるたびにトロイの木馬が起動されます。
30分ごとに、Windowsのコマンドラインを使用してhttp://www.greatpage.da.ruを開きます。
執筆時点では、このアドレスにはページが配置されていませんでした。
削除手順
- オリジナルのトロイの木馬ファイルを削除します(場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります)。
- 次のファイルを削除します。 %System%winsvc32.exe
- 次のシステムレジストリエントリを削除します。 [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"winsvc32.exe" = "%System%winsvc32.exe" - ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します(Kaspersky Anti-Virusの試用版をダウンロードしてください)。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!