Trojan-PSW.Win32.CrazyBilets

親クラス: TrojWare

トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。

クラス: Trojan-PSW

トロイの木馬-PSWプログラムは、感染したコンピュータからのログインやパスワードなどのユーザーアカウント情報を盗むように設計されています。 PSWはPassword Stealing Wareの略語です。起動すると、PSWトロイの木馬は、一連の機密データまたはレジストリを格納しているシステムファイルを検索します。そのようなデータが見つかった場合、トロイの木馬はそれを "マスタ"に送信します。盗まれたデータを転送するには、電子メール、FTP、Web（要求のデータを含む）、またはその他の方法を使用できます。このようなトロイの木馬の中には、特定のソフトウェアプログラムの登録情報を盗むものもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム（Windows XP、Windows 7など）上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

このプログラムは、トロイの木馬を盗むパスワードのファミリーに属します。それは、2002年6月の初めに、narod.ruサーバーのパブリックアクセスWebページから広がっていました。

ウェブページには以下が含まれていました：

 中級試験 数学のための試験紙と作文のトピック。まだ無料！

Webページにあるファイルは、トロイの木馬インストーラです。実行すると、トロイの木馬プログラムがWindowsディレクトリにドロップされ、偽の検査トピック（ロシア語）が抽出され、作成されます。

トロイの木馬自体は約27Kbの長さのWindows PE EXEファイル（UPXで圧縮され、解凍サイズは約83Kbです）であり、Delphiで書かれています。

実行されると、トロイの木馬は自身をSYSTEM.EXの名前でWindowsディレクトリにコピーし、このファイルをシステムレジストリの自動実行キーに登録します。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun   システム=％WindowsDir％System.exe

CrazyBilets Trojanの主な機能は、被害者のマシン上にキャッシュされたWindowsのパスワードを収集し、この情報をSMTPサーバーへの直接接続によって「マスター」に送信することです。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com