ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan-Spy.Win32.SCKeyLog

Fecha de detección 11/02/2006
Clase Trojan-Spy
Plataforma Win32
Descripción

Una vez lanzado, el troyano realiza las siguientes acciones:

  • Extrae archivos de su cuerpo y los guarda en el sistema como:
     % System% secsrvrc.exe 

    (29 184 bytes, detectado por Kaspersky Anti-Virus como "Trojan-Spy.Win32.SCKeyLog.au")

     % System% secsrvrc.dll 

    (15 360 bytes, detectado por Kaspersky Anti-Virus como "Trojan-Spy.Win32.SCKeyLog.at") Los archivos se crean con los atributos "oculto" y "del sistema".

  • Registra la biblioteca extraída en el registro del sistema creando las siguientes claves:
    
    
    
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotifysecsrvrc]
    
    
    
    "DllName" = "secsrvrc.dll"
    
    
    
    "Asincrónico" = "0"
    
    
    
    "Suplantar" = "0"
    
    
    
    "Bloquear" = "WLELock"
    
    
    
    "Cerrar sesión" = "WLELogoff"
    
    
    
    "Iniciar sesión" = "WLELogon"
    
    
    
    "Apagar" = "WLEShutdown"
    
    
    
    "StartScreenSaver" = "WLEStartScreenSaver"
    
    
    
    "Inicio" = "WLEStartup"
    
    
    
    "StopScreenSaver" = "WLEStopScreenSaver"
    
    
    
    "Desbloquear" = "WLEUnlock"
    
    
    
    

    Por lo tanto, la biblioteca extraída "secsrvrc.dll" se carga automáticamente en el espacio de direcciones del proceso "WINLOGON.EXE" cada vez que se reinicia el sistema. En respuesta a los diferentes eventos que tienen lugar en el sistema (inicio de sesión de usuario, cierre de sesión, etc.), el troyano llamará a las funciones correspondientes de la biblioteca "secsrvrc.dll".

  • Para garantizar que el archivo "secsrvrc.exe" extraído previamente se inicia automáticamente cada vez que se reinicia el sistema, se crea la siguiente clave de registro del sistema:
    
    
    
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    
    
    
    "secsrvrc" = "% System% secsrvrc.exe"
    
    
    
    
  • Lanza el archivo "secsrvrc.exe" para su ejecución.

El troyano deja de funcionar.

Cuando se ejecuta, el troyano guarda su registro en el siguiente archivo:

 % Temp% LogFile.Log 

El contenido de este registro se envía al usuario malintencionado por correo electrónico.

Una vez lanzado, el proceso "secsrvrc.exe" realiza las siguientes acciones:

  • Si la computadora infectada ejecuta Windows 9x, el troyano oculta su proceso utilizando la función no documentada "RegisterServiceProcess".
  • Llama a las siguientes funciones de la biblioteca "% System% secsrvrc.dll":
    
    
    
    SetLOpt
    
    
    
    StartL
    
    
    
    

Enlace al original