Játékok CD-kulcsait lopkodó trójai program

A trójai paraméterei

Felfedezésének ideje: 2004. szeptember 30.
Utolsó frissítés ideje: 2004. október 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nincs adat
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System könyvtárban winupdate.exe néven
– hozzáadja a winupdate.reg=winupdate.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
– hozzáadja a con.exe bejegyzést a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services Registry kulcshoz
– megszünteti a következő helyi hálózati megosztásokat: $ipc, $admin, $c, $d
– megkísérel hátsó kaput nyitni a rendszeren a latina.a.la IRC-csatornához a 6667-es TCP porton való csatlakozással
– átvizsgálja a számítógépet, és ha tudja, a következő sebezhetőségek egyikét ki is használja:
. UPnP NOTIFY Buffer Overflow sebezhetőség
. Microsoft Windows Local Security Authority Service Remote Buffer Overflow sérülékenység
– játékokhoz tartozó jelszavakat és CD-kulcsokat lophat el a rendszerből
– felhasználói információkat és azonosítókat próbál meg eltulajdonítani a következő szoftverekből:
. Microsoft Messenger service (MSN)
. Microsoft Windows
. Yahoo messenger
. AOL instant messenger (AIM)

A trójai kínálta lehetőségek

– file-ok letöltése és futtatása
– trójai programot futtató szerverek utáni keresés
– process-ek listázása, megállítása és elindítása
– DoS-támadások kezdeményezése
– rendszerinformációk ellopása és alkotójának való továbbítása
– port átirányítása stb.