本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Trojan-PSW.Win32.Widget

クラス Trojan-PSW
プラットフォーム Win32
説明

技術的な詳細

これはパスワードであり、WebMoney情報はトロイの木馬プログラムを盗んで、インターネットWebサイトから「アップグレード」をダウンロードし、新しいバージョンに置き換えることができるようにする。このトロイの木馬はフリーウェアのゲームパッケージに実装され、2001年5月にこの方法で配布されました。

トロイの木馬はインターネットWebサイトから自身を "アップグレード"することができるため、以下の情報は、未知のトロイの木馬バージョンに対しては完全に正しいとは限りません。

インストール

トロイの木馬が実行されると、自身をTASKSVR32.EXEという名前のWindowsシステムディレクトリにコピーし、自身をレジストリの自動実行キーに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe

そのキーの作成中にエラーが発生すると(現在のユーザーはHKLMキーにアクセスできません)、そのトロイの木馬はHKCUキーに自身を登録します。

HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe

このトロイの木馬は、WindowsシステムディレクトリにDLLファイルヘルパーCOOLX.DLLを作成します。元のトロイの木馬ファイル(トロイの木馬が開始された元のファイル)は次に削除されます。

トロイの木馬はさらに多くのレジストリキーを作成し、そこに16進数の値を書き込みます。

HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =%hexバリュー%;これら4つのキーは
DRMInstallPlace =%hexバリュー%;トロイの木馬のシステム時刻
DRMUpdateFocus =%hexバリュー%;自分自身をインストールする
DRMUpdatePlace =%hexバリュー%;システムに
DRMVersion =%hex valie%;トロイの木馬バージョン

このトロイの木馬は、隠されたサービスプロセスとしてWindowsのメモリに残り、Windowsが再起動されるまでアクティブになります。

盗難情報

トロイの木馬は、作成者に感染したコンピュータから次の情報を送信します。

コンピュータネーム
ユーザー名
RegisteredOwnerおよびRegisteredOrganization文字列
インストールされているハードウェア情報
アクセスモードのネットワークリソース
IPアドレス
RAS情報、キャッシュされたパスワード
他のインターネットアクセスのログインとパスワード
ICQユーザー情報
WebMoneyの情報とデータファイル

アップグレード

いくつかの条件に応じて、トロイの木馬はインターネットサイトからファイルを取得し、RTTY32.EXEという名前のWindowsの一時ディレクトリにダウンロードし、それを生成します。これらのファイルは、次のトロイの木馬バージョンであり、機能が向上している可能性があります。

既知のトロイの木馬バージョンは、次のページからファイルをダウンロードします。

sfavp.chat.ru/update
widpage.chat.ru/update

その他

いくつかの既知のバージョン:

  • C:AUTOEXEC.BATファイルを "フォーマットC:"トロイの木馬プログラムで上書きします。
  • Internet Explorerを実行し、以下のいずれかのページを開きます。

    http://vrs.ru
    http://ebooks.vov.ru
    http://3w.ozonebooks.com

  • http://www.ibm.comでDoS攻撃を実行する

  • オリジナルへのリンク