Trojan-Spy.Win32.SCKeyLog

Дата обнаружения 02/11/2006
Класс Trojan-Spy
Платформа Win32
Описание

После запуска троянец выполняет следующие действия:

  • извлекает из своего тела файлы, которые сохраняются в системе как
    %System%secsrvrc.exe

    (29184 байта; детектируется Антивирусом Касперского как “Trojan-Spy.Win32.SCKeyLog.au”)

    %System%secsrvrc.dll

    (15360 байт; детектируется Антивирусом Касперского как “Trojan-Spy.Win32.SCKeyLog.at”)

    Файлы создаются с атрибутами “скрытый” (hidden) и “системный” (system).

  • Регистрирует извлеченную библиотеку в системном реестре путем создания следующих ключей:
    
    
    
    [HKLMSoftwareMicrosoftWindows NTCurrentVersion
    
    
    
    WinlogonNotifysecsrvrc]
    
    
    
    "DllName" = "secsrvrc.dll"
    
    
    
    "Asynchronous" = "0"
    
    
    
    "Impersonate" = "0"
    
    
    
    "Lock" = "WLELock"
    
    
    
    "Logoff" = "WLELogoff"
    
    
    
    "Logon" = "WLELogon"
    
    
    
    "Shutdown" = "WLEShutdown"
    
    
    
    "StartScreenSaver" = "WLEStartScreenSaver"
    
    
    
    "Startup" = "WLEStartup"
    
    
    
    "StopScreenSaver" = "WLEStopScreenSaver"
    
    
    
    "Unlock" = "WLEUnlock"
    
    
    
    

    Таким образом, при каждом следующем старте системы библиотека “secsrvrc.dll” будет подгружаться в адресное пространство процесса “WINLOGON.EXE”. При этом в ответ на различные события, имеющие место в системе (вход пользователя в систему, выход из системы и т.д.), будут вызываться соответствующие функции из библиотеки “secsrvrc.dll”.

  • Для автоматического запуска извлеченного ранее файла “secsrvrc.exe” при каждом следующем старте системы создается ключ системного реестра:
    
    
    
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    
    
    
    "secsrvrc" = "%System%secsrvrc.exe"
    
    
    
    
  • Запускает на выполнение файл “secsrvrc.exe”.

После этого троянец завершает свою работу.

В процессе выполнения троянец сохраняет лог своей работы в файле:

%Temp%LogFile.Log

Кроме того, содержимое лога отправляется злоумышленнику на e-mail.

После запуска процесс “secsrvrc.exe” выполняет следующие действия:

  • если на зараженном компьютере установлена операционная система Windows 9x, скрывает свой процесс при помощи недокументированной функции “RegisterServiceProcess”.
  • Вызывает из библиотеки “%System%secsrvrc.dll” функции:
    
    
    
    SetLOpt
    
    
    
    StartL
    
    
    
    

Узнай статистику распространения угроз в твоем регионе