Trojan-Spy.Win32.SCKeyLog

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Spy

Предназначены для ведения электронного шпионажа за пользователем (вводимые с клавиатуры данные, изображения экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

После запуска троянец выполняет следующие действия:

• извлекает из своего тела файлы, которые сохраняются в системе как

  %System%secsrvrc.exe

  (29184 байта; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.SCKeyLog.au")

  %System%secsrvrc.dll

  (15360 байт; детектируется Антивирусом Касперского как "Trojan-Spy.Win32.SCKeyLog.at") Файлы создаются с атрибутами "скрытый" (hidden) и "системный" (system).
• Регистрирует извлеченную библиотеку в системном реестре путем создания следующих ключей:

  
  
  
  [HKLMSoftwareMicrosoftWindows NTCurrentVersion
  
  
  
  WinlogonNotifysecsrvrc]
  
  
  
  "DllName" = "secsrvrc.dll"
  
  
  
  "Asynchronous" = "0"
  
  
  
  "Impersonate" = "0"
  
  
  
  "Lock" = "WLELock"
  
  
  
  "Logoff" = "WLELogoff"
  
  
  
  "Logon" = "WLELogon"
  
  
  
  "Shutdown" = "WLEShutdown"
  
  
  
  "StartScreenSaver" = "WLEStartScreenSaver"
  
  
  
  "Startup" = "WLEStartup"
  
  
  
  "StopScreenSaver" = "WLEStopScreenSaver"
  
  
  
  "Unlock" = "WLEUnlock"
  
  
  
  

  Таким образом, при каждом следующем старте системы библиотека "secsrvrc.dll" будет подгружаться в адресное пространство процесса "WINLOGON.EXE". При этом в ответ на различные события, имеющие место в системе (вход пользователя в систему, выход из системы и т.д.), будут вызываться соответствующие функции из библиотеки "secsrvrc.dll".
• Для автоматического запуска извлеченного ранее файла "secsrvrc.exe" при каждом следующем старте системы создается ключ системного реестра:

  
  
  
  [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  
  
  
  "secsrvrc" = "%System%secsrvrc.exe"
  
  
  
  

• Запускает на выполнение файл "secsrvrc.exe".

После этого троянец завершает свою работу.

В процессе выполнения троянец сохраняет лог своей работы в файле:

%Temp%LogFile.Log

Кроме того, содержимое лога отправляется злоумышленнику на e-mail. После запуска процесс "secsrvrc.exe" выполняет следующие действия:

• если на зараженном компьютере установлена операционная система Windows 9x, скрывает свой процесс при помощи недокументированной функции "RegisterServiceProcess".
• Вызывает из библиотеки "%System%secsrvrc.dll" функции:

  
  
  
  SetLOpt
  
  
  
  StartL
  
  
  
  

  Смотрите также

  Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

  Нашли неточность в описании этой уязвимости? Дайте нам знать!