PWSteal.Rimd – kiszolgáltatott online játékosok

A trójai program tulajdonságai

Felfedezésének ideje: 2002. december 30.
Utolsó frissítés ideje: 2002. december 30.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 19.456 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a System könyvtárban a Hahaha.dll, a Windows könyvtárban a Kernel.exe állományt
– módosítja a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcs alapértékét, mégpedig a következőre: [Windows elérési útvonala]/kernel.exe ˝%1˝ %
– a fenti változtatás következtében minden egyes futtatható file indításakor a trójai is betöltődik a memóriába
– lefuttatja az imént felmásolt Hahaha.dll állományt, amely képes figyelni az egéraktivitást és a leütött billentyűket
– ha talál olyan ablakot, melyben egy online kínai játék fut, akkor megszerzi az ehhez tartozó információkat, majd eltárolja ezeket az adatokat a Windows könyvtárban egy állományban (kernel.ini)
– e-mailben továbbküldi a kernel.ini file-t a trójai készítőjének