Dotkom
PWSteal.SoapSpy – ellopott jelszavak, kiszolgáltatott rendszerek
Visual C++ programnyelvben írt trójai program, melyet alkotója kifejezetten a megtámadott rendszerek jelszavainak megszerzésére készített.
A trójai program tulajdonságai
Felfedezésének ideje: 2002. szeptember 3.
Utolsó frissítés ideje: 2002. szeptember 3.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 16.140 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódásakor bekövetkező események
– bemásolja magát a System könyvtárba Scanreg.exe néven
– a következő állományokat másolja fel a System mappába: Sconfig.dll, Date.vxd, Sclg32.ocx, Winload.exe, Sysconf.dll
– létrehozza a Shell Explorer.exe scanreg.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcsban
– megkísérli a rendszerre esetlegesen telepített tűzfal és antivírus-szoftvereket kiiktatni
– amennyiben a rendszer Windows 9x vagy Me, a trójai program service processként regisztrálja magát, így kijelentkezés után is tovább tud futni
– szintén csak ezen operációs rendszerek alatt képes megszerezni a fertőzött gépen levő jelszavakat (dial-up, URL stb.)
– elküldi a hacker számára az utoljára létrehozott, sikeres RAS-kapcsolat jellemzőit: telefonszám, felhasználó neve, felhasználó jelszava
– figyelemmel kíséri a billentyűzet és az egér által a rendszer felé közvetített üzeneteket
– a hackernek üzenetet küld a nyitott rendszerről
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2002/09/04/pwsteal-soapspy-ellopott-jelszavak-kiszolgaltatott-rendszerek/" width="800" count="off" num="3" countmsg=""]
