Backdoor.Phoenix – eltulajdonított rendszerinformációk

trójai program tulajdonságai

Felfedezésének ideje: 2002. szeptember 16.
Utolsó frissítés ideje: 2002. szeptember 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 221.184 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: közepes

Aktiválódásakor bekövetkező események

– ugyanabba a könyvtárba, ahol a trójai található, felmásolja a ~P2.exe file-t, a Windows könyvtárába pedig a Ctwdm16.exe, a Ctcheklv.exe és a Ssdpcache.exe állományokat
– létrehozza a következő két bejegyzést:
Ctwdm16.exe /Ctwdm16.exe
Ssdpcache.exe /Ssdpcache.exe /doc
a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– létrehozza a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Ph Registry kulcsot és benne az InstallationDate bejegyzést
– létrehozza a következő bejegyzést:
/~P2.EXE /Ctwdm16.exe /del /~P2.EXE a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce Registry kulcsban
– ha a megfertőzött operációs rendszer Windows 95/98/Me, akkor a trójai service processként regisztrálja magát, így akkor is müködőképes marad, ha a felhasználó kijelentkezett
– megszerzi a cahce-ben eltárolt jelszavakat és az utolsó sikeres RAS-kapcsolat jellemzőit
– e-mailben értesíti a trójai készítőjét a fertőzés megtörténtéről és parancsra vár a 7410-es porton