Kaspersky Threats

Дата обнаружения

02/11/2006

Класс

Trojan-Spy

Платформа

Win32

Описание

После запуска троянец выполняет следующие действия:

извлекает из своего тела файлы, которые сохраняются в системе как
```
%System%secsrvrc.exe
```
(29184 байта; детектируется Антивирусом Касперского как «Trojan-Spy.Win32.SCKeyLog.au»)
```
%System%secsrvrc.dll
```
(15360 байт; детектируется Антивирусом Касперского как «Trojan-Spy.Win32.SCKeyLog.at»)

Файлы создаются с атрибутами «скрытый» (hidden) и «системный» (system).
Регистрирует извлеченную библиотеку в системном реестре путем создания следующих ключей:
```
[HKLMSoftwareMicrosoftWindows NTCurrentVersion



WinlogonNotifysecsrvrc]



"DllName" = "secsrvrc.dll"



"Asynchronous" = "0"



"Impersonate" = "0"



"Lock" = "WLELock"



"Logoff" = "WLELogoff"



"Logon" = "WLELogon"



"Shutdown" = "WLEShutdown"



"StartScreenSaver" = "WLEStartScreenSaver"



"Startup" = "WLEStartup"



"StopScreenSaver" = "WLEStopScreenSaver"



"Unlock" = "WLEUnlock"
```
Таким образом, при каждом следующем старте системы библиотека «secsrvrc.dll» будет подгружаться в адресное пространство процесса «WINLOGON.EXE». При этом в ответ на различные события, имеющие место в системе (вход пользователя в систему, выход из системы и т.д.), будут вызываться соответствующие функции из библиотеки «secsrvrc.dll».
Для автоматического запуска извлеченного ранее файла «secsrvrc.exe» при каждом следующем старте системы создается ключ системного реестра:
```
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]



"secsrvrc" = "%System%secsrvrc.exe"
```
Запускает на выполнение файл «secsrvrc.exe».

После этого троянец завершает свою работу.

В процессе выполнения троянец сохраняет лог своей работы в файле:

%Temp%LogFile.Log

Кроме того, содержимое лога отправляется злоумышленнику на e-mail.

После запуска процесс «secsrvrc.exe» выполняет следующие действия:

если на зараженном компьютере установлена операционная система Windows 9x, скрывает свой процесс при помощи недокументированной функции «RegisterServiceProcess».
Вызывает из библиотеки «%System%secsrvrc.dll» функции:
```
SetLOpt



StartL
```

Узнай статистику распространения угроз в твоем регионе

Дата обнаружения	02/11/2006
Класс	Trojan-Spy
Платформа	Win32
Описание	После запуска троянец выполняет следующие действия: извлекает из своего тела файлы, которые сохраняются в системе как %System%secsrvrc.exe (29184 байта; детектируется Антивирусом Касперского как «Trojan-Spy.Win32.SCKeyLog.au») %System%secsrvrc.dll (15360 байт; детектируется Антивирусом Касперского как «Trojan-Spy.Win32.SCKeyLog.at») Файлы создаются с атрибутами «скрытый» (hidden) и «системный» (system). Регистрирует извлеченную библиотеку в системном реестре путем создания следующих ключей: [HKLMSoftwareMicrosoftWindows NTCurrentVersion WinlogonNotifysecsrvrc] "DllName" = "secsrvrc.dll" "Asynchronous" = "0" "Impersonate" = "0" "Lock" = "WLELock" "Logoff" = "WLELogoff" "Logon" = "WLELogon" "Shutdown" = "WLEShutdown" "StartScreenSaver" = "WLEStartScreenSaver" "Startup" = "WLEStartup" "StopScreenSaver" = "WLEStopScreenSaver" "Unlock" = "WLEUnlock" Таким образом, при каждом следующем старте системы библиотека «secsrvrc.dll» будет подгружаться в адресное пространство процесса «WINLOGON.EXE». При этом в ответ на различные события, имеющие место в системе (вход пользователя в систему, выход из системы и т.д.), будут вызываться соответствующие функции из библиотеки «secsrvrc.dll». Для автоматического запуска извлеченного ранее файла «secsrvrc.exe» при каждом следующем старте системы создается ключ системного реестра: [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] "secsrvrc" = "%System%secsrvrc.exe" Запускает на выполнение файл «secsrvrc.exe». После этого троянец завершает свою работу. В процессе выполнения троянец сохраняет лог своей работы в файле: %Temp%LogFile.Log Кроме того, содержимое лога отправляется злоумышленнику на e-mail. После запуска процесс «secsrvrc.exe» выполняет следующие действия: если на зараженном компьютере установлена операционная система Windows 9x, скрывает свой процесс при помощи недокументированной функции «RegisterServiceProcess». Вызывает из библиотеки «%System%secsrvrc.dll» функции: SetLOpt StartL
	Узнай статистику распространения угроз в твоем регионе

Trojan-Spy.Win32.SCKeyLog