Backdoor.Nota – számítógépeinket kiszolgáltató trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2002. június 12.
Védelem elkészítésének ideje: 2002. június 13.
Mérete: 363.481
Nem érintett rendszerek: Microsoft IIS, Macintosh, Unix, Linux
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– bemásolja magát a következő helyekre az alábbi neveken:
C:/Windows/System/ActiveDesktop.exe
C:/Windows/Mdm.exe
C:/Windows/winfat32.exe
C:/Windows/All Users/Start Menu/Programs/StartUp/Explorer.exe
(a Windows és a System könyvtárak elnevezése az aktuális operációs rendszertől függ)
– módosítja a Windows gyökérkönyvtárában található Win.ini file [Windows] részét a következő sorokkal:
load=
run=SYSTEM/ActiveDesktop.exe
NullPort=None
– módosítja a C:/Windows/System.ini állományt a shell=Explorer.exe winfat32.exe bejegyzéssel, ennek következtében a trójai program minden rendszerinduláskor automatikusan betöltődik a memóriába
– megnyitja a 61337-es és több véletlenszerűen választott TCP portokat, ezáltal egy távoli hacker részére illetéktelen hozzáférést biztosít
– bemásolja a Windows gyökérkönyvtárába a Scpt.sys és a Temp254.ini állományokat, ezekben tárolja a megszerzett információkat (ez a két file nem fertőző, és így nem is kerül ellenőrzésre antivírus programok által, a fenyegetés elhárítása után érdemes manuálisan kitörölni)