親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Trojan-PSW
トロイの木馬-PSWプログラムは、感染したコンピュータからのログインやパスワードなどのユーザーアカウント情報を盗むように設計されています。 PSWはPassword Stealing Wareの略語です。起動すると、PSWトロイの木馬は、一連の機密データまたはレジストリを格納しているシステムファイルを検索します。そのようなデータが見つかった場合、トロイの木馬はそれを "マスタ"に送信します。盗まれたデータを転送するには、電子メール、FTP、Web(要求のデータを含む)、またはその他の方法を使用できます。このようなトロイの木馬の中には、特定のソフトウェアプログラムの登録情報を盗むものもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これはパスワードであり、WebMoney情報はトロイの木馬プログラムを盗んで、インターネットWebサイトから「アップグレード」をダウンロードし、新しいバージョンに置き換えることができるようにする。このトロイの木馬はフリーウェアのゲームパッケージに実装され、2001年5月にこの方法で配布されました。
トロイの木馬はインターネットWebサイトから自身を "アップグレード"することができるため、以下の情報は、未知のトロイの木馬バージョンに対しては完全に正しいとは限りません。
インストール
トロイの木馬が実行されると、自身をTASKSVR32.EXEという名前のWindowsシステムディレクトリにコピーし、自身をレジストリの自動実行キーに登録します。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe
そのキーの作成中にエラーが発生すると(現在のユーザーはHKLMキーにアクセスできません)、そのトロイの木馬はHKCUキーに自身を登録します。
HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe
このトロイの木馬は、WindowsシステムディレクトリにDLLファイルヘルパーCOOLX.DLLを作成します。元のトロイの木馬ファイル(トロイの木馬が開始された元のファイル)は次に削除されます。
トロイの木馬はさらに多くのレジストリキーを作成し、そこに16進数の値を書き込みます。
HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =%hexバリュー%;これら4つのキーは
DRMInstallPlace =%hexバリュー%;トロイの木馬のシステム時刻
DRMUpdateFocus =%hexバリュー%;自分自身をインストールする
DRMUpdatePlace =%hexバリュー%;システムに
DRMVersion =%hex valie%;トロイの木馬バージョン
このトロイの木馬は、隠されたサービスプロセスとしてWindowsのメモリに残り、Windowsが再起動されるまでアクティブになります。
盗難情報
トロイの木馬は、作成者に感染したコンピュータから次の情報を送信します。
コンピュータネーム
ユーザー名
RegisteredOwnerおよびRegisteredOrganization文字列
インストールされているハードウェア情報
アクセスモードのネットワークリソース
IPアドレス
RAS情報、キャッシュされたパスワード
他のインターネットアクセスのログインとパスワード
ICQユーザー情報
WebMoneyの情報とデータファイル
アップグレード
いくつかの条件に応じて、トロイの木馬はインターネットサイトからファイルを取得し、RTTY32.EXEという名前のWindowsの一時ディレクトリにダウンロードし、それを生成します。これらのファイルは、次のトロイの木馬バージョンであり、機能が向上している可能性があります。
既知のトロイの木馬バージョンは、次のページからファイルをダウンロードします。
sfavp.chat.ru/update
widpage.chat.ru/update
その他
いくつかの既知のバージョン:
http://vrs.ru
http://ebooks.vov.ru
http://3w.ozonebooks.com
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com