Trojan.Win32.BKClient

技術的な詳細

このトロイの木馬は、ユーザーのパスワードを盗むために設計されています。これはWindows PE EXEファイルです。サイズは57,821バイトです。これはUPXを使用して圧縮されています。解凍されたファイルのサイズは約73KBです。

インストール

起動時に、トロイの木馬は以下のファイルを本体から抽出します：

• ％System％Bk_client.htm – サイズが9,370バイト。
• ％System％CONNECT.htm – サイズは7,468バイトです。
• ％System％ATOMIC.GIF – サイズ10,240バイト

  トロイの木馬が本体から％System％Bk_client.htmを抽出すると、トロイの木馬自体が起動します。

  このトロイの木馬は、システムレジストリに次のパラメータも追加します。

  [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
  “Bk_client.htm” = “％System％Bk_client.htm”

  これにより、オペレーティングシステムがロードされるたびにInternet Explorerが起動され、％System％Bk_client.htmが開きます。

  有効搭載量

  このプログラムは、「Boitsovskii klub」（Fight Club）というロシアのゲームをハックするように設計されています。しかし、これは偽のプログラムであり、実際には以下のアクションを実行します：

  • 起動すると、以下のウィンドウが表示されます。

    

    「Podkluchit’sya」（「接続」）ボタンをクリックすると、「ログイン」および「パスワード」フィールドに入力されたデータがメールでリモートの悪意のあるユーザーにで送信されますcolor = red> **** et777@rambler.ru トロイの木馬は以下のスクリプトを使用して電子メールを送信します：

     http://world-market.com/cgi-bin/mailto.pl 
    
    電子メールが送信されると、ブラウザは％System％CONNECT.htmのページをポップアップウィンドウに読み込みます。
      
    
    このウィンドウは、接続が失敗したことをユーザーに通知し、ユーザーにステップ1からの接続プロセスを繰り返すように指示します。 
    削除手順
    
    コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。
    
    次のファイルを削除します。
    ％System％Bk_client.htm％System％CONNECT.htm％System％ATOMIC.GIF 
    
    次のシステムレジストリキーパラメータを削除します。                
     [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun] 
                    "Bk_client.htm" = "％System％Bk_client.htm" 
    
    ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します（ダウンロード：Kaspersky Anti-Virusの試用版）。