W32.Manifest.Trojan – trójai program hasznos részekkel

A trójai program tulajdonságai

Felfedezésének ideje: 2002. november 26.
Utolsó frissítés ideje: 2002. november 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 1712, 2.702, 3.508, 32.768, 45.056, 85.504, 94.208, 99.840, 114.688, 446.464, 2.457.600 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a következő állományokat a Program Files/Common Files/Services könyvtárban (a csillaggal jelölt file-ok nem fertőzőek, hanem egy-egy általánosan használt szoftver részei):
Wssdsu.exe *, Wssdsup.exe, Wssdtu.exe, Wsys.exe *, Wsys.dll *, Bigfoot.bmp *, Infospbz.bmp *, Infospce.bmp *, Swtchbrd.bmp *, Verisign.bmp *, Whowhere.bmp *, Yahoo.bmp *, Serv-u.ini, Starr.ini *, Slog.sys
– létrehozza a Windows könyvtárban az alábbi állományokat: See32.dll *, See32u.dll *, See32z.dll *
– hozzáadja a Enumerate Service C:/Program Files/Common Files/Services/wsys.exe és a Folder Service C:/Program Files/Common Files/Services/wssdtu.exe bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a Serv-U C:/Program Files/Common Files/Services/wssdsu.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– beállítja az FTP szervert, hogy az a 20-as porton figyeljen
– a felhasználó és rendszerének információit megpróbálja FTP segítségével továbbítani a home.pi.be URL-re