Webszervereket fertőző trójai program

A trójai program paraméterei

Felfedezésének ideje: 2004. június 24.
Utolsó frissítés ideje: 2004. június 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 9.760 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása után bekövetkező események

– létrehozza az ads.vbs nevű állományt az IIS webszerver aktuális könyvtárában (ez az állomány nem fertőző)
– létrehoz három file-t a System/inetsrv mappában, az állományok neve a következőképpen alakul: iisXXX.dll, ahol a három X hexadecimális számjegyeket jelöl
– a fenti file-ok Javascriptet tartalmaznak
– módosítja az IIS által hostolt website-ok konfigurációját a fertőzött számítógépen olyanképp, hogy az egyik, fent említett DLL állomány legyen a dokumentum lábjegyzete
– az összes fertőzött számítógép a jobboldalon látható dokumentum lábjegyzet beállításokkal rendelkezik
– a fenti változtatások eredményeként minden olyan oldal, melyet a webszerver szolgál ki, tartalmazni fogja a trójai programot
– mindezek után a kliens oldalon a következők történnek:
. amennyiben az adott file nem HTTPS-en keresztül került elérésre és a trójai még nem állított be egy érvényes cookie-t, elindít egy Javascript állományt, mely a 217.107.218.147-es URL-en található
. ezt követően a trójai beállítja a cookie érvényességi idejét egy hétre; a neve a trk716-os karaktersorozattal kezdődik
– amennyiben a trójai működése beindult, egy hétig nem kerül újra elindításra