本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Trojan-Spy.Win32.SCKeyLog

検出日 11/02/2006
クラス Trojan-Spy
プラットフォーム Win32
説明

トロイの木馬は、起動すると以下の処理を実行します。

  • ファイルは本体から抽出され、システムに保存されます。
     %System%secsrvrc.exe 

    (29 184バイト、 "Trojan-Spy.Win32.SCKeyLog.au"としてKaspersky Anti-Virusによって検出された)

     %System%secsrvrc.dll 

    (15 360バイト、 "Trojan-Spy.Win32.SCKeyLog.at"としてKaspersky Anti-Virusによって検出されます)ファイルは "hidden"および "system"属性で作成されます。

  • 次のキーを作成して、抽出したライブラリをシステムレジストリに登録します。
    
    
    
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysecsrvrc]
    
    
    
    "DllName" = "secsrvrc.dll"
    
    
    
    "非同期" = "0"
    
    
    
    "偽装" = "0"
    
    
    
    "Lock" = "WLELock"
    
    
    
    "Logoff" = "WLELogoff"
    
    
    
    "Logon" = "WLELogon"
    
    
    
    "シャットダウン" = "WLEShutdown"
    
    
    
    "StartScreenSaver" = "WLEStartScreenSaver"
    
    
    
    "スタートアップ" = "WLEStartup"
    
    
    
    "StopScreenSaver" = "WLEStopScreenSaver"
    
    
    
    "Unlock" = "WLEUnlock"
    
    
    
    

    したがって、抽出された "secsrvrc.dll"ライブラリは、システムを再起動するたびに、自動的に "WINLOGON.EXE"プロセスのアドレス空間に読み込まれます。システム内で起こっているさまざまなイベント(ユーザーのログイン、ログアウトなど)に対応して、トロイの木馬は対応する機能を "secsrvrc.dll"ライブラリから呼び出します。

  • 以前に解凍されたファイル "secsrvrc.exe"がシステムが再起動するたびに自動的に起動されるようにするには、次のシステムレジストリキーが作成されます。
    
    
    
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    
    
    
    "secsrvrc" = "%System%secsrvrc.exe"
    
    
    
    
  • 実行のためにファイル "secsrvrc.exe"を起動します。

その後、トロイの木馬は実行を停止します。

実行時に、トロイの木馬はそのログを次のファイルに保存します。

 %Temp%LogFile.Log 

このログの内容は電子メールで悪意のあるユーザーに送信されます。

起動すると、「secsrvrc.exe」プロセスは次の処理を実行します。

  • 感染したコンピュータがWindows 9xを実行している場合、トロイの木馬は文書化されていない関数 "RegisterServiceProcess"を使用してそのプロセスを隠します。
  • "%System%secsrvrc.dll"ライブラリから次の関数を呼び出します。
    
    
    
    SetLOpt
    
    
    
    StartL
    
    
    
    

オリジナルへのリンク