Backdoor.Wold – trójai program ICQ alá

A trójai program tulajdonságai

Felfedezésének ideje: 2002. október 31.
Utolsó frissítés ideje: 2002. október 31.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 139.264 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba World.exe néven
– létrehozza a Ctwpf [System elérési útvonala]/Dimitris World.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban;
a Dhtovn [System elérési útvonala]/Dimitris World.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsban
– ha a következő Registry kulcsok nem léteznek, létrehozza azokat:
HKEY_CURRENT_USER/Software/Mirabilis
HKEY_CURRENT_USER/Software/Mirabilis/ICQ
HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent
HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent/Apps/Cebfz
a fenti manőver eredményeként amikor az ICQ fut, a trójai is működik
– a HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent/Apps/Cebfz kulcsban a következő értékeket állítja be:
Enable Yes
Parameters [üres string]
Path [System elérési útvonala]/DIMITRIS WORLD.EXE
Startup [System elérési útvonala]
– ha az operációs rendszer Windows 9x/Me, megpróbálja megszerezni a cache-ben levő jelszavakat
– a sikeresen létrehozott RAS kapcsolat adatait megszerzi, hogy képes legyen távoli szerverhez való hozzáférésre

A trójai kínálta lehetőségek

– rendszer- és hálózati információk elküldése a hacker számára
– rendszerparaméterek megváltoztatása
– futó processek számba vétele, leállítása
– file-ok felmérése