本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脅威 Trojan-PSW Win32

Trojan-PSW.Win32.Widget

クラス
Trojan-PSW
プラットフォーム
Win32

親クラス: TrojWare

トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。

クラス: Trojan-PSW

トロイの木馬-PSWプログラムは、感染したコンピュータからのログインやパスワードなどのユーザーアカウント情報を盗むように設計されています。 PSWはPassword Stealing Wareの略語です。起動すると、PSWトロイの木馬は、一連の機密データまたはレジストリを格納しているシステムファイルを検索します。そのようなデータが見つかった場合、トロイの木馬はそれを "マスタ"に送信します。盗まれたデータを転送するには、電子メール、FTP、Web(要求のデータを含む)、またはその他の方法を使用できます。このようなトロイの木馬の中には、特定のソフトウェアプログラムの登録情報を盗むものもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

これはパスワードであり、WebMoney情報はトロイの木馬プログラムを盗んで、インターネットWebサイトから「アップグレード」をダウンロードし、新しいバージョンに置き換えることができるようにする。このトロイの木馬はフリーウェアのゲームパッケージに実装され、2001年5月にこの方法で配布されました。

トロイの木馬はインターネットWebサイトから自身を "アップグレード"することができるため、以下の情報は、未知のトロイの木馬バージョンに対しては完全に正しいとは限りません。

インストール

トロイの木馬が実行されると、自身をTASKSVR32.EXEという名前のWindowsシステムディレクトリにコピーし、自身をレジストリの自動実行キーに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe

そのキーの作成中にエラーが発生すると(現在のユーザーはHKLMキーにアクセスできません)、そのトロイの木馬はHKCUキーに自身を登録します。

HKCUSoftwareMicrosoftWindowsCurrentVersionRun Microsoftタスクマネージャ= tasksvr32.exe

このトロイの木馬は、WindowsシステムディレクトリにDLLファイルヘルパーCOOLX.DLLを作成します。元のトロイの木馬ファイル(トロイの木馬が開始された元のファイル)は次に削除されます。

トロイの木馬はさらに多くのレジストリキーを作成し、そこに16進数の値を書き込みます。

HKCUSoftwareMicrosoftDirectX
DRMInstallFocus =%hexバリュー%;これら4つのキーは
DRMInstallPlace =%hexバリュー%;トロイの木馬のシステム時刻
DRMUpdateFocus =%hexバリュー%;自分自身をインストールする
DRMUpdatePlace =%hexバリュー%;システムに
DRMVersion =%hex valie%;トロイの木馬バージョン

このトロイの木馬は、隠されたサービスプロセスとしてWindowsのメモリに残り、Windowsが再起動されるまでアクティブになります。

盗難情報

トロイの木馬は、作成者に感染したコンピュータから次の情報を送信します。

コンピュータネーム
ユーザー名
RegisteredOwnerおよびRegisteredOrganization文字列
インストールされているハードウェア情報
アクセスモードのネットワークリソース
IPアドレス
RAS情報、キャッシュされたパスワード
他のインターネットアクセスのログインとパスワード
ICQユーザー情報
WebMoneyの情報とデータファイル

アップグレード

いくつかの条件に応じて、トロイの木馬はインターネットサイトからファイルを取得し、RTTY32.EXEという名前のWindowsの一時ディレクトリにダウンロードし、それを生成します。これらのファイルは、次のトロイの木馬バージョンであり、機能が向上している可能性があります。

既知のトロイの木馬バージョンは、次のページからファイルをダウンロードします。

sfavp.chat.ru/update
widpage.chat.ru/update

その他

いくつかの既知のバージョン:

  • C:AUTOEXEC.BATファイルを "フォーマットC:"トロイの木馬プログラムで上書きします。
  • Internet Explorerを実行し、以下のいずれかのページを開きます。
    http://vrs.ru
    http://ebooks.vov.ru
    http://3w.ozonebooks.com
  • http://www.ibm.comでDoS攻撃を実行する

    も参照してください

    お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

    この脆弱性についての記述に不正確な点がありますか? お知らせください!
    • 新しいカスペルスキー
    あなたのデジタルライフを守る
    も参照してください
    Kaspersky IT Security Calculator
    も参照してください
    Related articles
    18 April 2024
    Securelist
    DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
    17 April 2024
    Kaspersky Daily
    写真や動画の本物と偽物を見分ける新しい方法 | カスペルスキー公式ブログ
    17 April 2024
    Securelist
    SoumniBot: the new Android banker’s unique techniques
    16 April 2024
    Kaspersky Daily
    Kaspersky製品への切り替え:段階的な移行ガイド | カスペルスキー公式ブログ
    15 April 2024
    Securelist
    Using the LockBit builder to generate targeted ransomware
    12 April 2024
    Securelist
    XZ backdoor story – Initial analysis
    この脆弱性についての記述に不正確な点がありますか?
    新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
    newvirus@kaspersky.com
    新しい脅威または脆弱性が見つかりましたか?
    新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
    newvirus@kaspersky.com
    ソリューション
    個人向け製品
    小規模企業
    中規模企業
    大企業
    Select language
    Sorting
    脅威
    Confirm changes?
    Your message has been sent successfully.