親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Trojan-Spy
トロイの木馬 - スパイプログラムは、ユーザーの行動を偵察するために使用されます(キーボードで入力されたデータの追跡、スクリーンショットの作成、実行中のアプリケーションのリストの取得など)。電子メール、FTP、ウェブ(要求内のデータを含む)および他の方法を使用してデータを送信することができる。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
トロイの木馬は、起動すると以下の処理を実行します。
- ファイルは本体から抽出され、システムに保存されます。
%System%secsrvrc.exe
(29 184バイト、 "Trojan-Spy.Win32.SCKeyLog.au"としてKaspersky Anti-Virusによって検出された)%System%secsrvrc.dll
(15 360バイト、 "Trojan-Spy.Win32.SCKeyLog.at"としてKaspersky Anti-Virusによって検出されます)ファイルは "hidden"および "system"属性で作成されます。 - 次のキーを作成して、抽出したライブラリをシステムレジストリに登録します。
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysecsrvrc]"DllName" = "secsrvrc.dll""非同期" = "0""偽装" = "0""Lock" = "WLELock""Logoff" = "WLELogoff""Logon" = "WLELogon""シャットダウン" = "WLEShutdown""StartScreenSaver" = "WLEStartScreenSaver""スタートアップ" = "WLEStartup""StopScreenSaver" = "WLEStopScreenSaver""Unlock" = "WLEUnlock"
したがって、抽出された "secsrvrc.dll"ライブラリは、システムを再起動するたびに、自動的に "WINLOGON.EXE"プロセスのアドレス空間に読み込まれます。システム内で起こっているさまざまなイベント(ユーザーのログイン、ログアウトなど)に対応して、トロイの木馬は対応する機能を "secsrvrc.dll"ライブラリから呼び出します。 - 以前に解凍されたファイル "secsrvrc.exe"がシステムが再起動するたびに自動的に起動されるようにするには、次のシステムレジストリキーが作成されます。
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]"secsrvrc" = "%System%secsrvrc.exe"
- 実行のためにファイル "secsrvrc.exe"を起動します。
実行時に、トロイの木馬はそのログを次のファイルに保存します。
%Temp%LogFile.Logこのログの内容は電子メールで悪意のあるユーザーに送信されます。
起動すると、「secsrvrc.exe」プロセスは次の処理を実行します。
- 感染したコンピュータがWindows 9xを実行している場合、トロイの木馬は文書化されていない関数 "RegisterServiceProcess"を使用してそのプロセスを隠します。
- "%System%secsrvrc.dll"ライブラリから次の関数を呼び出します。
SetLOptStartL
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!