更新日: 2007 年 2 月 13 日 11:38:23 AM
種別: スパイウェア
バージョン: 1.7
発行者: Eltima Software
リスクの危険度: 高
ファイル名:
advanced_keylogger.exe
kmonitor.exe
Setup.exe
trace.exe
svchost.exe
TMLib.dll
TMUtils.dll
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Spyware.AdvancedKey は次の機能を備えています。
- キーストロークの記録
- クリップボードの監視
- スクリーンショットのキャプチャ
- インターネットアクティビティの監視
- 電子メール送信の記録
- Ctrl+Alt+Del+R キーの組み合わせを使用して、自身のトレイアイコンの非表示/表示を切り替える
Spyware.AdvancedKey がインストールされると、次のことを行います。
- エンドユーザライセンス契約を表示します。
- インストールフォルダの指定を要求します。標準のインストールフォルダは %Windir%\IDDE です。
注意: %Windir% は可変です。標準では、このフォルダは C:\Windows または C:\Winnt です。
シマンテックでは、ユーザがスパイウェアを標準のディレクトリにインストールすることを選択したという前提で以下の内容を記述しています。
- 次のファイル/ディレクトリを作成します。
注意: %System% は可変です。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
- %Windir%\IDDE\kmonitor.exe: (表示や設定を記録するための主要なアプリケーション。Spyware.AdvancedKey として検出される。)
- %Windir%\IDDE\License.txt: (ライセンス情報)
- %Windir%\IDDE\manual.chm: (ヘルプファイル)
- %Windir%\IDDE\readme.txt: (ドキュメント)
- %Windir%\IDDE\register.bat: (スパイウェアの登録に利用される)
- %Windir%\IDDE\Setup.exe: (適切な場所へのファイルの配置やレジストリの設定に使用される。Spyware.AdvancedKey として検出される。)
- %Windir%\IDDE\setup.log: (インストールプロセスのログ)
- %Windir%\IDDE\trace.exe: (スクリーンショットのトレースに使用される。Spyware.AdvancedKey として検出される。)
- %Windir%\IDDE\uninstall.bat: (アンインストールに使用される)
- %Windir%\IDDE\Uninstall.exe: (一般的なアンインストーラ)
- %Windir%\IDDE\wrk.log: (インストールプロセスのログ)
- %Windir%\system\svchost.exe: (Spyware.AdvancedKey として検出されるメインロガー)
- %System%\TMLib.dll: (ログの保存やログ用の環境設定に使用される。Spyware.AdvancedKey として検出される。)
- %System%\TMUtils.dll: スクリーンショットの保存やトレースに使用される。Spyware.AdvancedKey として検出される。)
- %Windir%\IDDE\CLPBR\: (スクリーンショットを内包するディレクトリ)
- %Windir%\ddemal32.bin: (ログファイル)
- 次のレジストリキー/値を追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\IDDE\KM\(標準) = "C:\WINNT\IDDE"
HKEY_LOCAL_MACHINE\Software\Microsoft\IDDE\KM\KMVersion = "1.7"
HKEY_LOCAL_MACHINE\Software\Microsoft\IDDE\KM\LastTimeSendLog = "<時間>"
HKEY_LOCAL_MACHINE\Software\Microsoft\IDDE\KM\Path = "C:\WINNT\IDDE"
- 次の属性を持つサービスを追加します。
- サービス名: svchost
- 表示名: MS Software Generic Host Process for Win32 Services
- 実行ファイルのパス: %Windir%\system\svchost.exe
- スタートアップの種類: 自動
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
