Ha magától újraindul számítógépünk, fertőzés is lehet a háttérben

A trójai program tulajdonságai

Felfedezésének ideje: 2002. szeptember 12.
Utolsó frissítés ideje: 2002. szeptember 12.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 122.880 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: közepes

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Scanstartup.exe néven (ez az állomány csak olvasható, system és rejtett atributummal bír)
– létrehozza a SCANSTRTUP /Scanstartup.exe bejegyzést a következő Registry kulcsokban:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– szintén létrehozza a StubPath /Scanstartup.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/ActiveSetup/Installed Components Registry kulcsban
– ICQ-pageren keresztül értesíti készítőjét a fertőzés tényéről és megnyitja a 3737-es portot
– megkísérel jónéhány futó processt leállítani (ezek között főként tűzfalprogramok és vírusirtó szoftverek szerepelnek)

A trójai kínálta lehetőségek

– hálózati és rendszerinformációkat szolgáltat a hacker számára
– szöveg nyomtatása, médiafile-ok lejátszása, CD-ROM tálcájának kinyitása/becsukása
– billentyűleütéssel való bizalmas adatok megszerzése
– számítógép leállítása, újraindítása, kijelentkezés