TSPY_KEYLOG.WD
VirTool:Win32/VBInject (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
スパイウェアは、他の不正プログラムにより作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
スパイウェアは、自身のコピーがWindows起動時に自動実行されるようレジストリ値を追加します。
詳細
侵入方法
スパイウェアは、他の不正プログラムにより作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
スパイウェアは、以下のコンポーネントファイルを作成します。
- %System%\cmd
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\cmd.exe
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
cmd.exe = %system%\cmd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{9DAC0E14-E446-4251-A277-D863A87E229A}
StubPath = %system%\cmd.exe
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{9DAC0E14-E446-4251-A277-D863A87E229A}