McAfee for Small Businesses

・Keylog-Rambはキーロギングをするトロイの木馬で、ターゲットマシンからデータを詐取するように作成されています。以下の2つのコンポーネントで構成されます。

• ターゲットマシンに自身をインストールするEXEファイル。システムの起動をフックします。
• 上記のEXEファイルでドロップ（作成）されたDLLファイル。このDLLファイルはターゲットマシンのEXPLORER.EXEプロセスに挿入されます。この技術はパーソナルファイアウォール保護を回避する手段としてよく利用されます（EXPLORER.EXEでは、通常パーミッションの外部のプロセスを許可していません。）。

・Keylog-Rambは自身のSMTPエンジンを内蔵して、詐取したデータを含む送信メッセージを作成します。

・以下のファイルをターゲットマシンのWindowsSystemディレクトリにドロップ（作成）します。

• %SysDir%\SVCROOT.EXE（8,704バイト）
• %SysDir%\SVCROOT.DLL（5,120バイト）

・以下のレジストリキーを追加して、システムの起動をフックします

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "explorer" = %SysDir%\SVCROOT.EXE

・記録されたキーストローク（関連するアプリケーションと共に）がWindowsSystemディレクトリの以下のファイルに書き込まれます。

• %SysDir%\GDISYS32.DLL

・Keylog-RambはInternet Explorer（IEXPLORE.EXE）セッションに固有の詳細内容も記録します。表示中のページのファイル名およびそのセッションに入力されたキーストロークと共に、ウィンドウのタイトル（一般にはHTML内のタイトル）を記録します。このデータを以下のファイルに記録します。

• %SysDir%\MSNSYS32.DLL

・Keylog-Rambは自身のSMTPエンジンを使用して、収集したデータを含む電子メールのメッセージを作成します。