本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
Detect date
04/13/2010
クラス
Trojan-Downloader
プラットフォーム
Win32

親クラス: TrojWare

トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。

クラス: Trojan-Downloader

Trojan-Downloaderとして分類されたプログラムは、トロイの木馬やAdWareを含む悪意のあるプログラムの新しいバージョンをダウンロードし、犠牲PCにインストールします。インターネットからダウンロードされると、プログラムは起動され、オペレーティングシステムの起動時に自動的に実行されるプログラムのリストに含まれます。ダウンロードされるプログラムの名前と場所に関する情報は、トロイの木馬のコードに含まれているか、インターネットリソース(通常はWebページ)からトロイの木馬によってダウンロードされます。この種の悪意のあるプログラムは、悪用を含むWebサイトへの訪問者の初期感染に頻繁に使用されます。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

トロイの木馬は、以下のシステムレジストリキーパラメータを変更することにより、Explorer.exeによって隠しファイルを表示できないようにします。

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"非表示" = "0"
"ShowSuperHidden" = "0"

トロイの木馬は、以下のシステムレジストリキーパラメータを設定することにより、Explorer.exeによってファイル拡張子を表示することもできません。

[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"HideFileExt" = "1"

これらのパラメータが元に戻らないようにするため、トロイの木馬は以下のシステムレジストリキーパラメータを設定して、Explorer.exeの「フォルダオプション」を無効にします。

[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesexplorer]
"NoFolderOptions" = "1"

トロイの木馬は、Windowsシステムディレクトリに "psador18.dll"と呼ばれる隠しフォルダを作成します。

%System%ðsdîr18.dll

このファイルには、次の電子メールアドレスが含まれています。

ot01_***@mail.ru
ot02_***@mail.ru

このトロイの木馬は、その本体から "psagor18.sys"というルートキットも抽出します。このファイルは、トロイの木馬の作業ディレクトリに置かれます。このルートキットには、 "psador18.dll"ファイルと "AHTOMSYS19.exe"ファイルの存在を隠す機能が含まれています。また、トロイの木馬ファイルを削除したり、トロイの木馬のプロセスを終了させることができないため、トロイの木馬に最高のシステム特権が与えられます。

システムがシャットダウンされると、このファイルは削除されますが、システムが再起動されると再作成されます。

トロイの木馬は、次のタイトルのウィンドウの外観を追跡します。

NOD32 2.5コントロールセンター
СканерNOD32поのтребованию - [Профильцентрауправления - Локально]СканерNOD32поのтребованию - [Профильконтекстногоменю] NOD32 - ПредупреждениеПpeдупpeждeниeРедакторконфигурацииNOD32 - [無題]АнтивирусКасперского個人0-выполняетсяпроверка...КарантинНастройкаобновленияНастройкакарантинаирезервногохранилища AVP.MessageDialog AVP.MainWindow AVP.Product_Notification AVP.SettingsWindow AVP.ReportWindow Agnitum Outpost Firewall - configuration.cfgНастройкасистемыРедакторреестраRegEdit_RegEdit

トロイの木馬がこのようなウィンドウを検出した場合、それらは自動的に閉じられます。

このトロイの木馬は、フラッシュデバイスも探します。このようなデバイスが検出された場合、そのトロイの木馬はその本体を "CDburn.exe"としてコピーし、 "autorun.inf"というファイルを作成します。このファイルには、トロイの木馬の本体へのリンクが含まれています。これにより、デバイスが接続されるたびにトロイの木馬ファイルが自動的に起動されます。

トロイの木馬はまた、被害者マシンから電子メールアドレスを収集し、それらに電子メールメッセージを送信します。電子メールには空白の件名と次の内容があります。

Янезнаюеетемпомоемунебыло(((...вот、посмотриhttp://softclub.land.ru/seeing/katie.rar)

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Confirm changes?
Your message has been sent successfully.