Connect with us

technokrata

Szöveges file-ok megnyitásakor aktivizálódó kártékony program

Dotkom

Szöveges file-ok megnyitásakor aktivizálódó kártékony program

A Delphiben írt trójai program képes letiltani a rendszerben futó behatolásvédelmi eszközöket és kiszolgáltatni a számítógépet egy távoli behatoló számára.

A trójai program tulajdonságai

Felfedezésének ideje: 2002. december 3.
Utolsó frissítés ideje: 2002. december 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 716.800 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a Windows könyvtárba Shell64.exe néven és a System könyvtárba Zbios.exe néven
– hozzáadja a Microsoft Shell 64 C:/[Windows elérési útvonala]/Shell64.exe bejegyzést a következő Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– módosítja a HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command Registry kulcsot is: a default értékét átírja C:/[System elérési útvonala]/Zbios.exe /NOTEPAD ˝%1˝ -re
– a fenti módosítás következtében minden alkalommal futtatásra kerül a Zbios.exe állomány, ha a Notepaddal a felhasználó megnyit egy text file-t
– Windows 9x/Me alatt a következő módosításokat végzi a Win.ini-ben:
[Windows]
run=C:/[Windows elérési útvonala]/Shell64.exe
és a System.ini-ben:
[boot]
shell=Explorer.exe C:/[Windows elérési útvonala]/Shell64.exe
– megpróbálkozik néhány, esetlegesen feltelepített víruskereső és tűzfalszoftver kiiktatásával
– megnyitja a 10666, a 65000 és a 65010 TCP portokat a kommunikáció végett



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek