Win32/Spy.KeyLogger.PDD
公開日:2016年05月09日
危険度:2
| 定義名称 | Win32/Spy.KeyLogger.PDD |
|---|---|
| シグネチャ検査による結果だった場合 | Win32/Spy.KeyLogger.PDD |
| 別名 | Trojan-Dropper.Win32.Sysn.bihv(Kaspersky)、TR/Agent.43003(Avira) |
| 種別 | トロイの木馬 |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Spy.KeyLogger.PDDの亜種 トロイの木馬」という名称で警告が出ます。 |
| 対応時期 | バージョン12978(20160204)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | このトロイの木馬は、個人情報を盗み出してリモートのコンピューターに送信しようとします。詳しい活動内容については、下記をご参照ください。 |
解説
侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。
システムが起動するたびに実行されるよう、次のレジストリーエントリーを設定します。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost" = "%malwarefilepath%"
次のレジストリーエントリーを設定します。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"Counter" = "%number%"
%number%には可変の数字が入ります。
情報の取得
このトロイの木馬は、個人情報を盗み出します。
ユーザーのキー入力内容を記録する機能を備えています。
収集された情報は次のファイルに保存されます。
%appdata%\svchost%variable%
%variable%には可変の文字列が入ります。
収集した情報をリモートのコンピューターに送信しようとします。
1つのURLを保持しています。通信にはFTPプロトコルが使用されます。
情報の取得
このトロイの木馬は、自身を感染先のコンピューターから削除する場合があります。