■侵入(インストレーション)について
Win32/PSW.OnLineGames.NLE トロイが実行されると、自分自身を %system% へ次のファイル名で
コピーします。
 |
kavo.exe (117104 B) |
また、同じフォルダに次のファイルをドロップします。
|
kavo0.dll (96768) |
すべての実行中のプロセスに対して、次のライブラリがインジェクトされます。
|
kavo0.dll |
トロイは、次のプロセス内で自身のプログラムコードで新しいスレッドを作成して実行します。
|
explorer.exe |
感染ファイルが毎回実行できるようにするために、次のレジストリが登録されます。
|
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kava" = "%system%\kavo.exe" |
さらに、次のレジストリを登録します。
|
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced]
"Hidden" = 2
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced]
"ShowSuperHidden" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer]
"NoDriveTypeAutoRun" = 145
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 0 |
■拡散について
トロイは、次のファイル名でリムーバブルメディアのルートフォルダに自分自身をコピーします。
|
f.cmd |
さらに、同じフォルダに次のファイルをドロップします。
|
autorun.inf |
このように、トロイは感染したメディアがコンピュータに挿入されるたびに、感染が開始できることを確実とします。
■情報の盗難について
トロイは、オンラインコンピュータゲームのさまざまな情報を集めます。その際、トロイは次のプロセスに関連した情報を集めま
|
dekaron.exe
elementclient.exe
gc.exe
ge.exe
hyo.exe
maplestory.exe
Online6.dat
Ragexe.exe
so3d.exe
sro_client.exe
wsm.exe
ybclient.exe
zhengtu.dat |
トロイは、ユーザーによるキーボードの入力を記録し、リモート先のコンピュータへ情報を送信します。このとき、HTTPプロトコルを使用されます。
■その他の情報
トロイは、インターネットからファイルをダウンロードして実行します。トロイは、13のURLリストを持っています。さらに、若干のセキュリティに関連したアプリケーションの作用を変えます。その際、ルートキットの技術を使用します。
|
