Állománytörlő trójai terjed

A trójai paraméterei

Felfedezésének ideje: 2005. április 16.
Utolsó frissítés ideje: 2005. április 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 37.920 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja önmagát a System könyvtárba winshost.exe névvel
– hozzáadja a “winshost.exe” = “[System elérési útvonala]/winshost.exe” bejegyzést a következő kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– megkísérli magát az explorer.exe utó process-ébe injektálni, ezzel rejtve el ténykedését a kíváncsi szemek elől
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– hasonló cél vezérli, amikor megpróbálkozik olyan Registry kulcsok letörlésével, melyek különböző behatolásvédeli szoftverekre mutatnak; ezenfelül ezeket a szoftvereket állományszinten is képes letörölni
– leállítja a SharedAccess és a wscsvc service-eket
– megkísérli korábbi, F változatát letölteni az Internetről, ha sikerrel jár, akkor a Windows könyvtárba menti el _re_file.exe néven, és le is futtatja
– felülírja a hosts állományt, így akadályozva meg az adott számítógépet abban, hogy fel tudjon csatlakozni különböző, többnyire IT-biztonsággal foglalkozó webhelyekhez