Backdoor.Remohak.16 – teljesen kiszolgáltatott számítógépek

A trójai program tulajdonságai

Felfedezésének ideje: 2002. december 16.
Utolsó frissítés ideje: 2002. december 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 571.392 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Rundll128.exe néven
– hozzáadja a Microsoft Winrun [System elérési útvonala]/rundll128.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– a HKEY_LOCAL_MACHINE/Software kulcshoz hozzáad egy alkulcsot, melynek neve: Winrun
– megnyit egy TCP portot (alapértelmezettként az 51985-öst) kommunikációra, majd parancsokra vár

A trójai kínálta lehetőségek

– rendszer és hálózati információk elküldése
– file-ok fel/letöltése
– a file-rendszer feletti teljes uralom megszerzése
– teljeskörű Registry-módosítási lehetőség
– üzenetek megjelenítése
– számítógép újraindítása vagy leállítása
– zavaró műveletek végrehajtása