Backdoor.Tron: új trójai veszélyezteti rendszereinket

A Backdoor.Tron egy olyan trójai program, amely lehetővé teszi a fertőzött rendszerhez való távoli hozzáférést. A nemrég terjedésnek indult rosszindulatú kód megpróbálja a ZoneAlarm tűzfalszoftver és a 2.0.15.0-s Tiny Personal Firewall programokat kiiktatni, ezáltal számos kiskaput megnyitni a behatolók előtt.

A 481 KB-os mérettel rendelkező trójai program aktiválódásakor a következőket teszi:
– bemásolja magát a Windows gyökérkönyvtárába egy véletlenszerűen választott nevű, EXE kiterjesztésű állományként
– létrehozza ugyanebben a könyvtárban a tmplnjs.bat file-t
– hozzáadja a C meghajtó gyökerében található autoexec.bat file-hoz az alábbi három sort:
PATH=C:/WINDOWS/;%PATH%
tmplnjs
cls
– hozzáadja a Registry HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcsához a LoadOrderVerification %Windows%/[véletlenszerűen választott név].exe bejegyzést
– megpróbálkozik a ZoneAlarm és a Tiny Personal Firewall kiiktatásával
– kinyitja az 58008-as és az 58009-es portokat

A fenti műveleteknek köszönhetően minden egyes Windows indításkor elindul a trójai program. Amennyiben egy hacker képes felismerni, hogy a fertőzött számítógépen a Backdoor.Tron fut, akkor bármelyik file-t képes másolni, átmozgatni vagy letörölni. Ezen felül fel- illetve le tud tölteni állományokat, futó taskokat képes lezárni, a CD-ROM tálcáját tudja kinyitni/becsukni, valamint képes leállítani a rendszert.

A Windows könyvtárban levő, a Registry-ből kilolvasható állomány letörlésével, az autoexec.bat file eredeti állapotra való visszaállításával és a Registry-ben keletkezett bejegyzés megszüntetésével manuálisan is eltüntethető a fertőzés. Természetesen a frissített adatbázissal rendelkező antivírus szoftverek képesek felismerni és eltávolítani.