Kaspersky Threats

検出日

11/02/2006

クラス

Trojan-Spy

プラットフォーム

Win32

説明

トロイの木馬は、起動すると以下の処理を実行します。

ファイルは本体から抽出され、システムに保存されます。
```
 ％System％secsrvrc.exe 
```
（29 184バイト、 "Trojan-Spy.Win32.SCKeyLog.au"としてKaspersky Anti-Virusによって検出された）
```
 ％System％secsrvrc.dll 
```
（15 360バイト、 "Trojan-Spy.Win32.SCKeyLog.at"としてKaspersky Anti-Virusによって検出されます）ファイルは "hidden"および "system"属性で作成されます。
次のキーを作成して、抽出したライブラリをシステムレジストリに登録します。
```
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysecsrvrc]



"DllName" = "secsrvrc.dll"



"非同期" = "0"



"偽装" = "0"



"Lock" = "WLELock"



"Logoff" = "WLELogoff"



"Logon" = "WLELogon"



"シャットダウン" = "WLEShutdown"



"StartScreenSaver" = "WLEStartScreenSaver"



"スタートアップ" = "WLEStartup"



"StopScreenSaver" = "WLEStopScreenSaver"



"Unlock" = "WLEUnlock"
```
したがって、抽出された "secsrvrc.dll"ライブラリは、システムを再起動するたびに、自動的に "WINLOGON.EXE"プロセスのアドレス空間に読み込まれます。システム内で起こっているさまざまなイベント（ユーザーのログイン、ログアウトなど）に対応して、トロイの木馬は対応する機能を "secsrvrc.dll"ライブラリから呼び出します。
以前に解凍されたファイル "secsrvrc.exe"がシステムが再起動するたびに自動的に起動されるようにするには、次のシステムレジストリキーが作成されます。
```
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]



"secsrvrc" = "％System％secsrvrc.exe"
```
実行のためにファイル "secsrvrc.exe"を起動します。

その後、トロイの木馬は実行を停止します。

実行時に、トロイの木馬はそのログを次のファイルに保存します。

 ％Temp％LogFile.Log

このログの内容は電子メールで悪意のあるユーザーに送信されます。

起動すると、「secsrvrc.exe」プロセスは次の処理を実行します。

感染したコンピュータがWindows 9xを実行している場合、トロイの木馬は文書化されていない関数 "RegisterServiceProcess"を使用してそのプロセスを隠します。
"％System％secsrvrc.dll"ライブラリから次の関数を呼び出します。
```
SetLOpt



StartL
```

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

検出日	11/02/2006
クラス	Trojan-Spy
プラットフォーム	Win32
説明	トロイの木馬は、起動すると以下の処理を実行します。ファイルは本体から抽出され、システムに保存されます。％System％secsrvrc.exe （29 184バイト、 "Trojan-Spy.Win32.SCKeyLog.au"としてKaspersky Anti-Virusによって検出された）％System％secsrvrc.dll （15 360バイト、 "Trojan-Spy.Win32.SCKeyLog.at"としてKaspersky Anti-Virusによって検出されます）ファイルは "hidden"および "system"属性で作成されます。次のキーを作成して、抽出したライブラリをシステムレジストリに登録します。 [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysecsrvrc] "DllName" = "secsrvrc.dll" "非同期" = "0" "偽装" = "0" "Lock" = "WLELock" "Logoff" = "WLELogoff" "Logon" = "WLELogon" "シャットダウン" = "WLEShutdown" "StartScreenSaver" = "WLEStartScreenSaver" "スタートアップ" = "WLEStartup" "StopScreenSaver" = "WLEStopScreenSaver" "Unlock" = "WLEUnlock" したがって、抽出された "secsrvrc.dll"ライブラリは、システムを再起動するたびに、自動的に "WINLOGON.EXE"プロセスのアドレス空間に読み込まれます。システム内で起こっているさまざまなイベント（ユーザーのログイン、ログアウトなど）に対応して、トロイの木馬は対応する機能を "secsrvrc.dll"ライブラリから呼び出します。以前に解凍されたファイル "secsrvrc.exe"がシステムが再起動するたびに自動的に起動されるようにするには、次のシステムレジストリキーが作成されます。 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "secsrvrc" = "％System％secsrvrc.exe" 実行のためにファイル "secsrvrc.exe"を起動します。その後、トロイの木馬は実行を停止します。実行時に、トロイの木馬はそのログを次のファイルに保存します。％Temp％LogFile.Log このログの内容は電子メールで悪意のあるユーザーに送信されます。起動すると、「secsrvrc.exe」プロセスは次の処理を実行します。感染したコンピュータがWindows 9xを実行している場合、トロイの木馬は文書化されていない関数 "RegisterServiceProcess"を使用してそのプロセスを隠します。 "％System％secsrvrc.dll"ライブラリから次の関数を呼び出します。 SetLOpt StartL
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Trojan-Spy.Win32.SCKeyLog