A Windows működését nagyban átszabó trójai program jelent meg

A trójai program tulajdonságai

Felfedezésének ideje: 2003. február 17.
Utolsó frissítés ideje: 2003. február 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Mérete: 49.664 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a C meghajtó gyökerében található könyvtárak egyikébe a következő neveken: .exe, d.exe, e.exe, f.exe, w.exe, kx.exe
– felmásolja magát a System könyvtárba ExploreB.exe néven, majd futtatja is az állományt
– megváltoztatja a HKEY_LOCAL_MACHINE/Software/Classes/chm.file/shell/open/command Registry kulcs (Default) [Windows elérési útvonala]/hh.exe %1 bejegyzését a következőre: (Default) C:/[kiválasztott könyvtár]/.exe
– megváltoztatja a HKEY_LOCAL_MACHINE/Software/Classes/scrfile/shell/open/command Registry kulcs (Default) %1 /s értékét a következőre: (Default) C:/[kiválasztott könyvtár]/d.exe %1
– megváltoztatja a HKEY_LOCAL_MACHINE/Software/Classes/regfile/shell/open/command Registry kulcs (Default) = regedit.exe %1 értékét a következőre: (Default) C:/[kiválasztott könyvtár]/w.exe %1
– a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command kulcs default értékét megváltoztatja a következőképp: (Default) C:/[kiválasztott könyvtár]/d.exe %1 %
– megváltoztatja a default értékét a HKEY_LOCAL_MACHINE/Software/Classes/txtfile/shell/open/command Registry kulcsnak: (Default) C:/[kiválasztott könyvtár]/F.exe %1
– megváltoztatja a default értékét a HKEY_LOCAL_MACHINE/Software/Classes/inifile/shell/open/command Registry kulcsnak: (Default) C:/[kiválasztott könyvtár]/e.exe %1
– hozzáadja az ExplorerBen C:/[kiválasztott könyvtár]/kx.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a C meghajtó gyökerében a DebugFI nevű szöveges állományt, amely azon információkat tartalmazza a számítógépről, amit a trójai szerzett meg
– megkísérli leállítani a következő processeket: kav9x.exe, kavsvc9x.exe, kavsvcui.exe, smenu.exe, ravmon.exe, watcher.exe
– az ellopott információkat megpróbálja továbbítani alkotójának e-mailben