Backdoor.IRC.Aladinz – fontkészletnek álcázott trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2003. január 17.
Utolsó frissítés ideje: 2003. január 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: több file-ból áll
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a Windows könyvtárán belül a FONTS/FONTS mappát
– a következő állományokat másolja fel ide:
AERIL2.EXE
ARAB.DAT
ARIAL.COM (mIRC kliens, nem fertőző)
ARIAL.EXE
ARIALFONT.EXE
GRAD.EXE (ez a Downloader.Trojan kártevő)
INV.BAT
MIRC.INI
SMAL.EXE
TIMESNEW.EXE
VARDE.EXE
VERDANA.EXE
– a fent külön nem részletezett állományok mind az Aladinz trójai programot tartalmazzák magukban
– létrehozza a következő értéket:
Arialfont [Windows elérési útvonala]/FONTS/FONTS/Arialfont.exe a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– az IRC-kliensen keresztül kapcsolódik az Internethez, alkotóját ezen keresztül értesíti, illetve szintén ezt a kommunikációs csatornát használhatja a távoli támadó parancsok végrehajtására