Connect with us

technokrata

Backdoor.Cybspy – logolt műveletek

Dotkom

Backdoor.Cybspy – logolt műveletek

A hálózati kapcsolat monitorozására használatos rendszerfile-t letörli a trójai, ezzel is próbálván elfedni tevékenységét.

A trójai program tulajdonságai

Felfedezésének ideje: 2003. január 8.
Utolsó frissítés ideje: 2003. január 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: 148 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– Mswincfg32.exe néven felmásolja magát a System könyvtárba
– megváltoztatja a shell=Explorer.exe sort a System.ini file-ban a következőre: shell=Explorer.exe [System elérési útvonala]/mswincfg32.exe
– hozzáadja az mswincfg = [System elérési útvonala]/mswincfg32.exe bejegyzést az alábbi Registry kulcsokhoz: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– letörli a Netstat.exe állományt, amellyel az aktív hálózati kapcsolatok monitorozhatók
– alapértelmezett esetben a 14.194-es portot nyitja meg kommunikációra
– tartalmaz egy billentyűzet-leütést logoló metódust, amely a System könyvtárban levő Mswinstart32.dll file-ba menti az így megszerzett logokat
– ICQ-n vagy IRC-n keresztül értesíti alkotóját



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek