親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Trojan-PSW
トロイの木馬-PSWプログラムは、感染したコンピュータからのログインやパスワードなどのユーザーアカウント情報を盗むように設計されています。 PSWはPassword Stealing Wareの略語です。起動すると、PSWトロイの木馬は、一連の機密データまたはレジストリを格納しているシステムファイルを検索します。そのようなデータが見つかった場合、トロイの木馬はそれを "マスタ"に送信します。盗まれたデータを転送するには、電子メール、FTP、Web(要求のデータを含む)、またはその他の方法を使用できます。このようなトロイの木馬の中には、特定のソフトウェアプログラムの登録情報を盗むものもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
このプログラムは、パスワードを盗むトロイの木馬のファミリーに属します。このトロイの木馬は中国語で書かれているようで、OICQ(中国語のICQのクローン)パスワードを盗むように設計されています。
実行すると、トロイの木馬は自身をシステムにインストールします。インストール中、トロイの木馬は自分自身をWindows、Windowsシステム、またはTEMPディレクトリにコピーし、システムレジストリの自動実行セクションに自身を登録します。例えば:
トロイの木馬のフルネーム :WINDOWSSYSTEMwinzipauto.exe
レジストリキー : HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun WindowsAgent = winzipauto.exe
インストールされているトロイの木馬のファイル名とターゲットディレクトリはオプションです。それらは暗号化された形でファイルの最後のトロイの木馬ファイルに格納されます。 OICQデータを盗むために、トロイの木馬はオプションの名前を持つ追加のDLLファイル(フッカー)もドロップします。ハッカーは、トロイの木馬を被害者のマシンに送信する前に、またはWebサイトに配置する前に、オプションのデータを設定することができます。
このトロイの木馬には、その他のオプション機能があります。
- デコイ(偽)メッセージを表示し、メッセージテキスト
- システムにインストールした後に元のファイルを削除する
- そこに送られるデータを盗まれた電子メールアドレス(デフォルト - goicq@sina.com)
- smtpサーバーに送信されるデータ(デフォルト - smtp.sina.com.cn)
このトロイの木馬は、隠されたアプリケーション(サービス)としてシステムに登録されます。トロイの木馬のプロセスは、タスクリストに表示されません。トロイの木馬は、システム内でアクティブになっていると、定期的にそのホスト(ハッカーの電子メールアドレス)に電子メールメッセージを送信します。
このトロイの木馬は、自分自身をメールしていない "アップグレート"バージョンがあり、結果として "インターネットワーム"となっています。 {"GOPworm":IWorm.GOPworm}を参照してください 。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com