Backdoor.AntiLam – teljesen kiszolgáltatott számítógépek

A trójai program tulajdonságai

Felfedezésének ideje: 2002. június 7.
Védelem elkészítésének ideje: 2002. június 8.
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Az alábbi események következnek be aktivizálódása esetén

– bemásolja magát a Windows gyökérkönyvtárába, alapértelmezett esetben Scandisk.exe néven (ettől függetlenül lehet más neve is, a trójai program írója ugyanis úgy alkotta meg az AntiLamot, hogy képes legyen megváltoztatni nevét)
– a Registry HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcsához hozzáadja a MS Scandisk Scandisk.exe bejegyzést
– a Registry HKEY_LOCAL_MACHINE/Software/Microsoft/DirectX kulcsához hozzáadja a Start ok bejegyzést
– HTTP-kapcsolatot nyit a hacker által meghatározott webszerverrel és elküldi a megfertőződött számítógép információit (IP-cím, bejelentkezett felhasználó neve, operációs rendszer verziója, számítógép neve, elfogott jelszavak)

A trójai program kínálta lehetőségek

– TCP port nyitása
– hamis hibaüzenet, egyéb szöveg kijelzése
– a file-rendszer feletti teljes irányítás átvétele (fel/letöltés, file futtatása stb.)
– felhasználó képernyőjének megnézése
– leütött billentyűk logolása
– egyéb lehetőségek (billentyűzet, egér manipulálása, CD-ROM tálcájának kinyitása, becsukása, monitor ki/bekapcsolása stb.)