File-gyilkos trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2003. február 20.
Utolsó frissítés ideje: 2003. február 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 59.904 byte [szerver], 141.824 byte [kliens]
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– értesíti a kliens oldalt
– megnyitja a 6969-es portot
– készítőjétől érkező parancsokra vár, aki a grafikus kezelői felülettel bíró kliensprogamról képes irányítani az áldozatul esett rendszert
– a támadó aktiválhatja a program pusztító képességét; ennek során létrehoz egy Scan.bat állományt, amivel letörli az összes DLL, EXE, SYS file-t a C:/Windows és a C:/Windows/System könyvtárban (mivel ezen elérési útvonalak a trójaiban vannak lekódolva, ezért Windows NT, 2k és XP alatt ritkán okoz kárt)
– a támadó megjeleníthet egy előre eltárolt üzenetet a szerveroldalon; ezek:
1. You have way too much porn on your hard drive. Please delete some and restart your machine. | Error 12743:28576 FAT32
2. Damn you look like you got raped with the ugly stick. Get away from the monitor. Error 1K6h2a8o7s Khaos FAT32
3. Windows has detected a homosexual using this computer. Please become straight, restart, and try again.
4. Warning ! Windows has detected child pornography in the directory C:WindowsSystemColorsPorn and in directory C:America Online 6.0adownload | Please remove these files and restart your computer.
5. Khaos -N- Konfusion