A felhasználót nem biztonságos tartalmak felé eltérítő trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2002. november 6.
Utolsó frissítés ideje: 2002. november 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 216.064 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– megjeleníti a Please open IP_Grabber now! üzenetet
– felmásolja magát a Windows könyvtárba Ms spool32.exe néven
– létrehozza ugyanitt az Ms spool32.dat állományt, amely azon antivírus és tűzfalszoftverek listáját tartalmazza, melyek futó processeit képes leállítani
– létrehozza az Ms Spool32 [Windows elérési útvonala]/ms spool32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– létrehozza a következő Registry kulcsokat
HKEY_LOCAL_MACHINE/SOFTWARE/AUFOBK
HKEY_LOCAL_MACHINE/SOFTWARE/AUFOBK/eu%t{efn74+fzb]
– a fenti kulcsokban konfigurációs információkat tárol kódolt formában
– megkísérli leállítani az antivírus és tűzfalszoftverek futó processeit
– Windows 9x/Me alatt service processként regisztrálja magát, így csak a rendszer leállításával lehet kilőni
– felmásol egy DLL állományt (PWS.Hooker.Trojan), aminek segítségével képes a leütött billentyűket figyelni
– ICQ pageren és/vagy e-mailen keresztül értesíti a kliensoldalt
– a távoli klienstől érkező parancsokra vár

A trójai kínálta lehetőségek

– rendszer- és hálózati információk kiszolgáltatása
– zavaró műveletek (például a CD-ROM tálcájának kinyitása/becsukása) végrehajtása
– bizalmas információk megszerzése a billentyűzet figyelésével
– az Internet Explorer biztonsági beállításainak megváltoztatása
– az Internet Explorer kezdőlapjának megváltoztatása egy olyan címre, amelyen nem biztonságos tartalmak is vannak