Dotkom
Backdoor.Optix.04.d – rendszerünkben kutató trójai program
Lassan már számolni is felesleges, hogy az Optix nevű trójai program hanyadik változatához van ˝szerencsénk˝. A Delphiben írt kártevő mindenesetre újból megváltoztatta működését.
A trójai program tulajdonságai
Felfedezésének ideje: 2003. február 13.
Utolsó frissítés ideje: 2003. február 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Mérete: 28.674 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódásakor bekövetkező események
– amennyiben Windows NT/2k/XP környezetben fut, az alábbi service-ek leállítását kísérli meg: Alerter, AvgServ, AvSynMgr, BlackICE, McShield, Minilog, NAV Auto-Protect, Navapsvc, Nisserv, Nisum, Sharedaccess, SVW3, SweepNet, SymProxySvc, Vsmon
– ezen felül bármely egyéb windowsos rendszerben is képes a behatolásvédelmi programok többségének működését kiiktatni
– felmásolja magát a Windows könyvtárba Wini.exe néven
– bemásolja a System könyvtárba magát Tapisvc.sys néven
– létrehoz egy batch állományt a Windows könyvtárban, melynek neve: Winstart.bat
– lefuttatja a fenti file-t, amely leellenőrzi a Wini.exe meglétét; amennyiben ezt nem találja, a Tapisvc.sys file-t Wini.exe néven bemásolja a következő helyre: Windows/Start Menu/Programs/Startup
– hozzáadja a RunProg [System elérési útvonala]/wini.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza HKEY_LOCAL_MACHINE/Software/EES/OL0.4 Registry kulcsot, s benne a palh$jwh ˝Hxvhr/Cdlc˝ bejegyzést
– az 5151-es porton várakozik parancsokra
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2003/02/15/backdoor-optix-04-d-rendszerunkben-kutato-trojai-program/" width="800" count="off" num="3" countmsg=""]
