Backdoor.Xeory – HTML-hozzáférés a fertőzött rendszerhez

A trójai program tulajdonságai

Felfedezésének ideje: 2003. február 5.
Utolsó frissítés ideje: 2003. február 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 194.094 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– a System könyvtárba másolja magát Netbi0s.exe néven
– hozzáadja a Netbi0s [System elérési útvonala]/Netbi0s.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megnyitja a 80-as és a 81-es portokat; a 80-as portot HTTP-hozzáférésre, a 81-est pedig parancsok fogadására használja
– a System könyvtárban létrehozza a következő állományokat:
Syspass.html: ebben tárolja a felhasználó RAS-kapcsolatának jelszavát, rendszerének információit és Windowsának CD-kulcsát
Evo_[dátum]_[idő].html: itt található a billentyű-leütés logolásának eredménye
– megkísérli leállítani a rendszeren futó behatolásvédelmi eszközök processeit (néhány példa: Norton Antivirus, Zonealarm stb.)