Dotkom
Újra terjed az Internet Explorert veszélyeztető Download.Ject
Megújult formában szaporodik az a trójai program, mely pár hónappal korábban azáltal vált híressé, hogy még az általa kihasznált biztonsági rés javításának megjelenése előtt terjedni kezdett.
A trójai program paraméterei
Felfedezésének ideje: 2004. augusztus 31.
Utolsó frissítés ideje: 2004. augusztus 31.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 12.800 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódásakor bekövetkező események
– létrehozza a következő állományokat a System könyvtárban: Doriot.exe (önmaga másolata), Gdqfw.exe (letöltőmodul)
– hozzáadja a wersds=[System elérési útvonala]/doriot.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_CURRENT_USER/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Microsoft/Windows/CurrentVersion/Run
– végrehajtási szálként beviszi az Explorer.exe állományba a Gdqfw.exe file-t, amely megkísérli leállítani a SharedAccess service-t, és ennek Startup típusát letiltja (azaz megakadályozza, hogy elindulhasson)
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– számos webcímről (köztük sok kelet-európairól) kísérel meg letölteni egy állományt, ha sikerrel járt, elmenti a Windows mappába _re_file.exe névvel
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/09/01/ujra-terjed-az-internet-explorert-veszelyezteto-download-ject/" width="800" count="off" num="3" countmsg=""]
