Dotkom
Backdoor.Phoenix – eltulajdonított rendszerinformációk
A Phoenix nevű trójai program a megfertőzött rendszerből megszerzi a jelszavakat és egyéb bizalmas információkat, amiket aztán kiszolgáltat a program készítőjének.
trójai program tulajdonságai
Felfedezésének ideje: 2002. szeptember 16.
Utolsó frissítés ideje: 2002. szeptember 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 221.184 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: közepes
Aktiválódásakor bekövetkező események
– ugyanabba a könyvtárba, ahol a trójai található, felmásolja a ~P2.exe file-t, a Windows könyvtárába pedig a Ctwdm16.exe, a Ctcheklv.exe és a Ssdpcache.exe állományokat
– létrehozza a következő két bejegyzést:
Ctwdm16.exe
Ssdpcache.exe
a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– létrehozza a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Ph Registry kulcsot és benne az InstallationDate bejegyzést
– létrehozza a következő bejegyzést:
– ha a megfertőzött operációs rendszer Windows 95/98/Me, akkor a trójai service processként regisztrálja magát, így akkor is müködőképes marad, ha a felhasználó kijelentkezett
– megszerzi a cahce-ben eltárolt jelszavakat és az utolsó sikeres RAS-kapcsolat jellemzőit
– e-mailben értesíti a trójai készítőjét a fertőzés megtörténtéről és parancsra vár a 7410-es porton
A trójai kínálta lehetőségek
– rendszer- és hálózati információk megszerzése (login nevek, jelszavak stb.)
– szöveg nyomtatása, médiafile-ok lejátszása, CD-ROM tálcájának kinyitása/becsukása, valamint egyéb zavaró akciók
– a trójai telepítésének menedzselése
– file-ok letöltése és futtatása
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2002/09/18/backdoor-phoenix-eltulajdonitott-rendszerinformaciok/" width="800" count="off" num="3" countmsg=""]
