Backdoor.OptixPro.11 – rendszerösszeomlást okozó trójai

A trójai program tulajdonságai

Felfedezésének ideje: 2002. szeptember 24.
Utolsó frissítés ideje: 2002. szeptember 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 417.280 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: könnyű

Aktivizálódásakor bekövetkező események

– megjeleníti a General Protection Fault at address 0x00000004. hibaüzenetet
– felmásolja magát a Windows könyvtárba Win32loader.exe néven
– ugyanide elhelyez egy file-t, melynek neve: Wmmiexe.exe
– létrehozza a KazaaLoader /win32loader.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– létrehozza a KazaaLoader /win32loader.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsban
– a HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command Registry kulcs alapértékét wmmiexe.exe ˝%˝ %* -re változtatja, így minden EXE file megnyitásakor futtatásra kerül a trójai is
– Windows 9x/Me alatt módosítja a System.ini és a Win.ini állományokat
– képes néhány antivírus és tűzfalprogram futó processét leállítani
– a cache-ben található jelszavakat megszerzi, csakúgy, mint az utolsó sikeres RAS-kapcsolat tulajdonságait
– figyelemmel kíséri a billentyűzet és az egér által a rendszer felé közvetített üzeneteket
– a hackernek e-mailen keresztül üzenetet küld a nyitott rendszerről

A trójai kínálta lehetőségek

– rendszer- és hálózati információk kiszolgáltatása
– AOL login részletek megszerzése
– szöveg nyomtatása, médiafile-ok lejátszása, CD-ROM tálcájának kinyitása/becsukása
– a trójai telepítésének menedzselése
– file-ok letöltése és futtatása
– rendszerösszeomlás kivitelezése