Connect with us

technokrata

Trojan.Poldo – file-törlő trójai program

Dotkom

Trojan.Poldo – file-törlő trójai program

Futtatható állományok megsemmisítésére képes trójai program, amely ráadásul még további ˝plugineket˝ tud letölteni működésének kiterjesztésére.

A trójai program tulajdonságai

Felfedezésének ideje: 2002. december 18.
Utolsó frissítés ideje: 2002. december 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux, Microsoft IIS
Mérete: 9.216 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Avirchk.exe néven, illetve Jdbgmrg.exe formában – ez utóbbi nagyon hasonlít a Windows Java Debugger Managerére (Jdbgmgr.exe)
– a MSConfigr [System elérési útvonala]/JDBGMRG.EXE
és a VirusCheckII [System elérési útvonala]/AVIRCHK.EXE bejegyzéseket hozzáadja az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– az OEMCurrentVersion tVersion bejegyzést is hozzáteszi a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion kulcshoz
– egy speciális website-ról igyekszik letölteni file-okat
– módosítja a gazdaállományt, így a megfertőzött számítógépről több website-hoz nem lehet hozzáférni
– további állományokat tölt le és futtat, valamint megváltoztatja az Internet Explorer beállításait
– átnézi az alábbi Registry kulcsokat:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
amennyiben ezekben talál egy olyan bejegyzést, amely .exe file-ra mutat, megkísérli leállítani a hozzá kapcsolódó process futását, majd letörli magát az állományt



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek