Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これはパスワードであり、WebMoney情報はトロイの木馬プログラムを盗んで、インターネットWebサイトから「アップグレード」をダウンロードし、新しいバージョンに置き換えることができるようにする。このトロイの木馬はフリーウェアのゲームパッケージに実装され、2001年5月にこの方法で配布されました。

トロイの木馬はインターネットWebサイトから自身を "アップグレード"することができるため、以下の情報は、未知のトロイの木馬バージョンに対しては完全に正しいとは限りません。

インストール

トロイの木馬が実行されると、自身をTASKSVR32.EXEという名前のWindowsシステムディレクトリにコピーし、自身をレジストリの自動実行キーに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe

そのキーの作成中にエラーが発生すると（現在のユーザーはHKLMキーにアクセスできません）、そのトロイの木馬はHKCUキーに自身を登録します。

HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe

このトロイの木馬は、WindowsシステムディレクトリにDLLファイルヘルパーCOOLX.DLLを作成します。元のトロイの木馬ファイル（トロイの木馬が開始された元のファイル）は次に削除されます。

トロイの木馬はさらに多くのレジストリキーを作成し、そこに16進数の値を書き込みます。

HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =％hexバリュー％;これら4つのキーは
DRMInstallPlace =％hexバリュー％;トロイの木馬のシステム時刻
DRMUpdateFocus =％hexバリュー％;自分自身をインストールする
DRMUpdatePlace =％hexバリュー％;システムに
DRMVersion =％hex valie％;トロイの木馬バージョン

このトロイの木馬は、隠されたサービスプロセスとしてWindowsのメモリに残り、Windowsが再起動されるまでアクティブになります。

盗難情報

トロイの木馬は、作成者に感染したコンピュータから次の情報を送信します。

コンピュータネーム
ユーザー名
RegisteredOwnerおよびRegisteredOrganization文字列
インストールされているハードウェア情報
アクセスモードのネットワークリソース
IPアドレス
RAS情報、キャッシュされたパスワード
他のインターネットアクセスのログインとパスワード
ICQユーザー情報
WebMoneyの情報とデータファイル

アップグレード

いくつかの条件に応じて、トロイの木馬はインターネットサイトからファイルを取得し、RTTY32.EXEという名前のWindowsの一時ディレクトリにダウンロードし、それを生成します。これらのファイルは、次のトロイの木馬バージョンであり、機能が向上している可能性があります。

既知のトロイの木馬バージョンは、次のページからファイルをダウンロードします。

sfavp.chat.ru/update
widpage.chat.ru/update

その他

いくつかの既知のバージョン：

C：AUTOEXEC.BATファイルを "フォーマットC："トロイの木馬プログラムで上書きします。

Internet Explorerを実行し、以下のいずれかのページを開きます。

http://vrs.ru
http://ebooks.vov.ru
http://3w.ozonebooks.com

http://www.ibm.comでDoS攻撃を実行する

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Trojan-PSW
プラットフォーム	Win32
説明	技術的な詳細これはパスワードであり、WebMoney情報はトロイの木馬プログラムを盗んで、インターネットWebサイトから「アップグレード」をダウンロードし、新しいバージョンに置き換えることができるようにする。このトロイの木馬はフリーウェアのゲームパッケージに実装され、2001年5月にこの方法で配布されました。トロイの木馬はインターネットWebサイトから自身を "アップグレード"することができるため、以下の情報は、未知のトロイの木馬バージョンに対しては完全に正しいとは限りません。インストールトロイの木馬が実行されると、自身をTASKSVR32.EXEという名前のWindowsシステムディレクトリにコピーし、自身をレジストリの自動実行キーに登録します。 HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe そのキーの作成中にエラーが発生すると（現在のユーザーはHKLMキーにアクセスできません）、そのトロイの木馬はHKCUキーに自身を登録します。 HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe このトロイの木馬は、WindowsシステムディレクトリにDLLファイルヘルパーCOOLX.DLLを作成します。元のトロイの木馬ファイル（トロイの木馬が開始された元のファイル）は次に削除されます。トロイの木馬はさらに多くのレジストリキーを作成し、そこに16進数の値を書き込みます。 HKCUSoftwareMicrosoftDirectX DRMInstallFocus =％hexバリュー％;これら4つのキーは DRMInstallPlace =％hexバリュー％;トロイの木馬のシステム時刻 DRMUpdateFocus =％hexバリュー％;自分自身をインストールする DRMUpdatePlace =％hexバリュー％;システムに DRMVersion =％hex valie％;トロイの木馬バージョンこのトロイの木馬は、隠されたサービスプロセスとしてWindowsのメモリに残り、Windowsが再起動されるまでアクティブになります。盗難情報トロイの木馬は、作成者に感染したコンピュータから次の情報を送信します。コンピュータネームユーザー名 RegisteredOwnerおよびRegisteredOrganization文字列インストールされているハードウェア情報アクセスモードのネットワークリソース IPアドレス RAS情報、キャッシュされたパスワード他のインターネットアクセスのログインとパスワード ICQユーザー情報 WebMoneyの情報とデータファイルアップグレードいくつかの条件に応じて、トロイの木馬はインターネットサイトからファイルを取得し、RTTY32.EXEという名前のWindowsの一時ディレクトリにダウンロードし、それを生成します。これらのファイルは、次のトロイの木馬バージョンであり、機能が向上している可能性があります。既知のトロイの木馬バージョンは、次のページからファイルをダウンロードします。 sfavp.chat.ru/update widpage.chat.ru/update その他いくつかの既知のバージョン： C：AUTOEXEC.BATファイルを "フォーマットC："トロイの木馬プログラムで上書きします。 Internet Explorerを実行し、以下のいずれかのページを開きます。 http://vrs.ru http://ebooks.vov.ru http://3w.ozonebooks.com http://www.ibm.comでDoS攻撃を実行する
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Trojan-PSW.Win32.Widget

技術的な詳細

インストール

盗難情報

アップグレード

その他