Jelszavakat megszerző trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2002. október 14.
Utolsó frissítés ideje: 2002. október 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 123.392 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: könnyű

Aktivizálódásakor bekövetkező események

– ha az alábbi processeket megtalálja, megpróbálja leállítani: Kav9x.exe, Smenu.exe, Ravmon.exe (Windows NT 4 alatt ez a funkció nem működik rendesen)
– átnevezi a Windows könyvtárban található Notepad.exe file-t Mspad.exe névre
– felmásolja a következő állományokat: Eudcedit.exe, Freecell.exe, Kaedit.exe, Msscr.exe, Notepad.exe (ezeket a Windows könyvtárba) és Mstray.exe (ezt pedig a System könyvtárba)
– a fenti módosításoknak köszönhetően minden text állomány megnyitásakor a trójai program kerül futtatásra, majd csak utána nyílik meg az eredeti Notepad
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban létrehozza a SystemKav /MSTRAY.EXE bejegyzést
– megváltoztatja a HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/regfile/shell/open/command kulcs default értékét a következőre: (Default) /KAEDIT.EXE %1
– megváltoztatja a HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/scrfile/shell/open/command kulcs default értékét a következőre: (Default) /MSSCR.EXE %1
– végül még egy Registry módosítást végez: a HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/chm.file/shell/open/command kulcs alapértékét a következőre változtatja: /MSSCR.EXE %1
– a fenti változtatások következtében a trójai program minden alkalommal futtatásra kerül, ha:
– a rendszer újraindul
– egy Registry állomány megnyílik
– egy képernyővédő futtatásra kerül
– egy Help állomány megnyílik