親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Trojan-Downloader
Trojan-Downloaderとして分類されたプログラムは、トロイの木馬やAdWareを含む悪意のあるプログラムの新しいバージョンをダウンロードし、犠牲PCにインストールします。インターネットからダウンロードされると、プログラムは起動され、オペレーティングシステムの起動時に自動的に実行されるプログラムのリストに含まれます。ダウンロードされるプログラムの名前と場所に関する情報は、トロイの木馬のコードに含まれているか、インターネットリソース(通常はWebページ)からトロイの木馬によってダウンロードされます。この種の悪意のあるプログラムは、悪用を含むWebサイトへの訪問者の初期感染に頻繁に使用されます。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
トロイの木馬は、以下のシステムレジストリキーパラメータを変更することにより、Explorer.exeによって隠しファイルを表示できないようにします。
"非表示" = "0"
"ShowSuperHidden" = "0"
トロイの木馬は、以下のシステムレジストリキーパラメータを設定することにより、Explorer.exeによってファイル拡張子を表示することもできません。
"HideFileExt" = "1"
これらのパラメータが元に戻らないようにするため、トロイの木馬は以下のシステムレジストリキーパラメータを設定して、Explorer.exeの「フォルダオプション」を無効にします。
"NoFolderOptions" = "1"
トロイの木馬は、Windowsシステムディレクトリに "psador18.dll"と呼ばれる隠しフォルダを作成します。
このファイルには、次の電子メールアドレスが含まれています。
このトロイの木馬は、その本体から "psagor18.sys"というルートキットも抽出します。このファイルは、トロイの木馬の作業ディレクトリに置かれます。このルートキットには、 "psador18.dll"ファイルと "AHTOMSYS19.exe"ファイルの存在を隠す機能が含まれています。また、トロイの木馬ファイルを削除したり、トロイの木馬のプロセスを終了させることができないため、トロイの木馬に最高のシステム特権が与えられます。
システムがシャットダウンされると、このファイルは削除されますが、システムが再起動されると再作成されます。
トロイの木馬は、次のタイトルのウィンドウの外観を追跡します。
СканерNOD32поのтребованию - [Профильцентрауправления - Локально]СканерNOD32поのтребованию - [Профильконтекстногоменю] NOD32 - ПредупреждениеПpeдупpeждeниeРедакторконфигурацииNOD32 - [無題]АнтивирусКасперского個人0-выполняетсяпроверка...КарантинНастройкаобновленияНастройкакарантинаирезервногохранилища AVP.MessageDialog AVP.MainWindow AVP.Product_Notification AVP.SettingsWindow AVP.ReportWindow Agnitum Outpost Firewall - configuration.cfgНастройкасистемыРедакторреестраRegEdit_RegEdit
トロイの木馬がこのようなウィンドウを検出した場合、それらは自動的に閉じられます。
このトロイの木馬は、フラッシュデバイスも探します。このようなデバイスが検出された場合、そのトロイの木馬はその本体を "CDburn.exe"としてコピーし、 "autorun.inf"というファイルを作成します。このファイルには、トロイの木馬の本体へのリンクが含まれています。これにより、デバイスが接続されるたびにトロイの木馬ファイルが自動的に起動されます。
トロイの木馬はまた、被害者マシンから電子メールアドレスを収集し、それらに電子メールメッセージを送信します。電子メールには空白の件名と次の内容があります。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com