本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス
Trojan-PSW
プラットフォーム
Win32

親クラス: TrojWare

トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。

クラス: Trojan-PSW

トロイの木馬-PSWプログラムは、感染したコンピュータからのログインやパスワードなどのユーザーアカウント情報を盗むように設計されています。 PSWはPassword Stealing Wareの略語です。起動すると、PSWトロイの木馬は、一連の機密データまたはレジストリを格納しているシステムファイルを検索します。そのようなデータが見つかった場合、トロイの木馬はそれを "マスタ"に送信します。盗まれたデータを転送するには、電子メール、FTP、Web(要求のデータを含む)、またはその他の方法を使用できます。このようなトロイの木馬の中には、特定のソフトウェアプログラムの登録情報を盗むものもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

このプログラムは、パスワードを盗むトロイの木馬のファミリーに属します。このトロイの木馬は中国語で書かれているようで、OICQ(中国語のICQのクローン)パスワードを盗むように設計されています。

実行すると、トロイの木馬は自身をシステムにインストールします。インストール中、トロイの木馬は自分自身をWindows、Windowsシステム、またはTEMPディレクトリにコピーし、システムレジストリの自動実行セクションに自身を登録します。例えば:

トロイの木馬のフルネーム :WINDOWSSYSTEMwinzipauto.exe
レジストリキー

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun WindowsAgent = winzipauto.exe

インストールされているトロイの木馬のファイル名とターゲットディレクトリはオプションです。それらは暗号化された形でファイルの最後のトロイの木馬ファイルに格納されます。 OICQデータを盗むために、トロイの木馬はオプションの名前を持つ追加のDLLファイル(フッカー)もドロップします。ハッカーは、トロイの木馬を被害者のマシンに送信する前に、またはWebサイトに配置する前に、オプションのデータを設定することができます。

このトロイの木馬には、その他のオプション機能があります。

  • デコイ(偽)メッセージを表示し、メッセージテキスト
  • システムにインストールした後に元のファイルを削除する
  • そこに送られるデータを盗まれた電子メールアドレス(デフォルト - goicq@sina.com)
  • smtpサーバーに送信されるデータ(デフォルト - smtp.sina.com.cn)

このトロイの木馬は、隠されたアプリケーション(サービス)としてシステムに登録されます。トロイの木馬のプロセスは、タスクリストに表示されません。トロイの木馬は、システム内でアクティブになっていると、定期的にそのホスト(ハッカーの電子メールアドレス)に電子メールメッセージを送信します。

このトロイの木馬は、自分自身をメールしていない "アップグレート"バージョンがあり、結果として "インターネットワーム"となっています。 {"GOPworm":IWorm.GOPworm}を参照してください

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Confirm changes?
Your message has been sent successfully.