McAfee for Small Businesses

・PWS-Moneykeeperはリモートアクセス型トロイの木馬で、MSVCで作成されています。

・PWS-Moneykeeperにはパスワード詐取型のトロイの木馬の亜種もあるので、ファイル名は異なるかもしれません。

・PWS-MoneykeeperはWindows環境で機能するトロイの木馬で、パスワードの詐取やキーロギングに使用されます。感染したコンピュータからWebmoneyとシステムのパスワードを詐取して、作成者に送信します。

・PWS-Moneykeeperが実行されると、%Sysdir%ディレクトリにWscrt32.exeという名前で自身をインストールします。

・%Sysdir%ディレクトリには、キーロガーコンポーネント（MVSRCC.EXEファイル、およびWFMSCAR.DLLファイル）も落とし込みます。これらのファイルはシステムを検索して、ユーザのキーストロークを記録します。

・さらに、%Sysdir%ディレクトリにNSPDOT.EXEファイルを落とし込みます。このファイルは、ユーザアカウント情報を含んでいる可能性がある、特定のWebmoneyファイルを調べます。

（%Windir%は、Windowsディレクトリです。例えば、Windows 98システムではC:\WINDOWS、Windows NT4/2000/XPシステムではC:\WINNTです。）
（%Sysdir%は、Windows Systemディレクトリです。例えば、Windows 98システムではC:\WINDOWS\SYSTEM、Windows NT4/2000/XPシステムではC:\WINNT\SYSTEM32です。）

・以下のレジストリキーを追加して、システムの起動をフックします。

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  "Shell" = "Explorer.exe C:\WINNT\System32wscrt32.exe "
• HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft\Windows NT\CurrentVersion\Winlogon
  "Userinit" = "C:\WINNT\System32\wscrt32.exe "

・以下のレジストリキーを追加して、Windows NT/2000/XPシステムでサービス（Start、およびStaticVxD）を開始します。

• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\WCR Values = "Start" and "StaticVxD"
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MsCRT

・以下のようなシステム情報を収集します。

• OS
• マシン名
• マシンパスワード
• インストールされたアプリケーションとバージョン
• Webmoney情報

・上記の情報は、indll @ mail.ruに電子メールで送信されます。