親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Trojan
ユーザーの活動を電子的に偵察する(キーボード入力の傍受、スクリーンショットの取得、アクティブなアプリケーションのリストの取得など)ために設計された悪質なプログラム。収集された情報は、電子メール、FTP、およびHTTP(リクエストでデータを送信すること)を含むさまざまな手段によってサイバー犯罪者に送信されます。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、Xpressoの金融情報デスクトップ(http://www.spxpresso.com参照)を攻撃するWin95 / 98 / MEトロイの木馬プログラムです。トロイの木馬は、おそらくハッカーの銀行口座にこれらの取引を転送するために、金融取引を変更するつもりです。このトロイの木馬は、Javaで記述されたXpressoクライアントで使用されるJavaランタイムライブラリに影響を与えています。
トロイの木馬はウイルス検査ではテストされていないため、ハッカーやその他のアカウントへの送金を保証することはできません。実際、トロイの木馬はトランザクションを傍受し、トランザクション制御ブロックのデータを変更します。
このトロイの木馬は、Win32 PE EXEファイルに添付されて配布されます。トロイの木馬のコードは、PE EXEファイルの最後にウイルスのように配置されます。影響を受けるファイルが実行されると、トロイの木馬コードが制御され、システムに主要なトロイの木馬コンポーネントがインストールされます。その後、制御はホストファイルに戻されます。
このトロイの木馬は、単独で他のPE EXEファイルに影響を与えることはできません。特殊な "dropping"トロイの木馬コンポーネント(コマンドラインWin32アプリケーション)が、ユーザーの要求によって被害PE EXEファイルにトロイの木馬コードを添付していることが判明しました。
システムにインストールしている間、トロイの木馬はコードVxDコンポーネント(主なトロイの木馬コンポーネント)から抽出し、新しく作成したMSREBOOT.VXDファイルからWindowsシステムディレクトリに書き込みます。このVxDは、 "VxD Services"レジストリキーに登録されます。
そこにはさらに多くのキーが作成されています:
HKLMSystemCurrentControlSetServicesVxDREBOOT
RebootData = [長さゼロのデータ]
開始= 00
StaticVxD = "* REBOOT、MSREBOOT.VXD"
最初のキーは、トロイの木馬がシステムから自身をアンインストールする日付を示します。トロイの木馬はVXDファイルをゼロで消去し、そのファイルを削除します。
2番目のキーは不明です。
3番目のキーは、Windowsの起動時にWindowsにVXDファイルを読み込ませて起動させる自動ロードレジストリキーです。
トロイの木馬VXDファイルがアクティブになると、メインのトロイの木馬プロシージャはファイルのオープンプロセスを監視し、JavaランタイムライブラリJRT3230.DLLを探します。次に、このライブラリの読み込みをスキップし、読み込みが完了するのを待って、 "do_execute_java_method_vararg" Java関数をフックします。
フックヤーは、Xpressoクライアントを使用して行われた銀行振替を含む、その機能によって処理されるすべてのデータをフックします。トロイの木馬は転送要求構造を解析し、その要求の一部のフィールドを他の値に置き換えます。このトロイの木馬は、元の宛先銀行口座番号をハッカーのものに置き換えているようです。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com