Connect with us

technokrata

Trojan.Poldo.B – számlálópörgető trójai

Dotkom

Trojan.Poldo.B – számlálópörgető trójai

Egy bizonyos oldal számlálójának növelését végzi a trójai, amely egyben file-okat is letölt az Internetről, majd futtatja azokat.

A trójai program tulajdonságai

Felfedezésének ideje: 2003. január 20.
Utolsó frissítés ideje: 2003. január 21.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: 8.192 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– a következő Registry kulcsokban bizonyos (MSAdmin, MSConfigr, VirusCheckII) értékek után keres:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– amennyiben talál ilyet és az egy EXE állományra mutat, a trójai megkísérli leállítani futó processét és letörölni az állományt
– felmásolja magát a System könyvtárba, rejtett attributummal, a következő neveken: IEXPRES.EXE, REGCPM32.EXE
– hozzáadja a következő bejegyzéseket:
MSStartOptimizer [System elérési útvonala]/IEXPRES.EXE
RegCompres [System elérési útvonala]/REGCPM32.EXE
az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– a trójai minden 5 másodpercben felmásolja magát a fenti helyre és módosítja a Registry-t, annak érdekében, hogy biztos legyen, bennevan a rendszerben
– hozzáadja az OEMCurrentVersion rrentVersion bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion kulcshoz
– megkísérel hozzáférni egy előre meghatározott URL-hez, hogy a website-on található számlálót növelje
– egy előre meghatározott FTP-szerverről megkísérel letölteni egy konfigurációs állományt
– amennyiben az előző művelet sikerrel járt, megpróbál letölteni és futtatni egy file-t



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek