Trojan-PSW.Win32.Hooker

技術的な詳細

このプログラムは、パスワードを盗むトロイの木馬のファミリーに属します。

有効にすると、トロイの木馬は自身をシステムにインストールします。インストール中、トロイの木馬は自身をWindowsまたはWindowsのシステムディレクトリにコピーし、システムレジストリの自動実行セクションに自身を登録します。例えば：

トロイの木馬フルネーム：WINDOWSSYSTEMkernel32.exe
レジストリキー：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
kernel32 = kernel32.exe

インストールされているトロイの木馬のファイル名、ターゲットディレクトリ、およびレジストリキーはオプションです。それらは暗号化された形でファイルの最後のトロイの木馬ファイルに格納されます。ハッカーは、トロイの木馬を被害者のマシンに送信する前に、またはWebサイトに配置する前に、トロイの木馬を設定することができます。

その後、トロイの木馬は隠されたアプリケーション（サービス）としてシステムに自身を登録し、この時点でのトロイの木馬のプロセスはタスクリストに表示されません。また、このトロイの木馬は、キーボードエントリを傍受してこれらのエントリを格納するために、追加のDLLライブラリを削除することもできます。

トロイの木馬はシステム内でアクティブになっているので、定期的にホストに電子メールメッセージを送信します（ハッカーの電子メールアドレスもオプションです）。このメッセージには、コンピュータ情報（所有者、インターネットアドレスなど）、RAS情報、キャッシュされたパスワード（ログイン名とパスワード）、およびWindowsセッション中にユーザーが入力したテキスト文字列が含まれます。