Trojan-PSW.Win32.GOPtrojan

技術的な詳細

このプログラムは、パスワードを盗むトロイの木馬のファミリーに属します。このトロイの木馬は中国語で書かれているようで、OICQ（中国語のICQのクローン）パスワードを盗むように設計されています。

実行すると、トロイの木馬は自身をシステムにインストールします。インストール中、トロイの木馬は自分自身をWindows、Windowsシステム、またはTEMPディレクトリにコピーし、システムレジストリの自動実行セクションに自身を登録します。例えば：

トロイの木馬のフルネーム ：WINDOWSSYSTEMwinzipauto.exe
レジストリキー ：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun WindowsAgent = winzipauto.exe

インストールされているトロイの木馬のファイル名とターゲットディレクトリはオプションです。それらは暗号化された形でファイルの最後のトロイの木馬ファイルに格納されます。 OICQデータを盗むために、トロイの木馬はオプションの名前を持つ追加のDLLファイル（フッカー）もドロップします。ハッカーは、トロイの木馬を被害者のマシンに送信する前に、またはWebサイトに配置する前に、オプションのデータを設定することができます。

このトロイの木馬には、その他のオプション機能があります。

• デコイ（偽）メッセージを表示し、メッセージテキスト
• システムにインストールした後に元のファイルを削除する
• そこに送られるデータを盗まれた電子メールアドレス（デフォルト – goicq@sina.com）
• smtpサーバーに送信されるデータ（デフォルト – smtp.sina.com.cn）

このトロイの木馬は、隠されたアプリケーション（サービス）としてシステムに登録されます。トロイの木馬のプロセスは、タスクリストに表示されません。トロイの木馬は、システム内でアクティブになっていると、定期的にそのホスト（ハッカーの電子メールアドレス）に電子メールメッセージを送信します。

このトロイの木馬は、自分自身をメールしていない "アップグレート"バージョンがあり、結果として "インターネットワーム"となっています。 {"GOPworm"：IWorm.GOPworm}を参照してください 。