W32.STD.D – hibás működésű, pusztító kártékony program

A trójai program tulajdonságai

Felfedezésének ideje: 2002. október 28.
Utolsó frissítés ideje: 2002. október 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 40.960 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– változattól függően egy ablakot jelenít meg a felhasználó képernyőjén
– létrehozza a következő állományokat:
C:/Windows/System/Systray_.exe
C:/Windows/System/Runtray_.dll
(a trójaiban levő hiba miatt mindkettő hossza 0 byte)
– módosítja a HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command kulcs alapértékét a következőre:[Default] ˝C:WindowsSystemsystray_.exe˝ %1 %*
(mivel az előbb említett file-ok nem rendesen kerülnek fel a rendszerre, ezért minden egyes exe file futtatásakor hibaüzenet látható)
– hozzáadja a SystemTray C:/Windows/system/systray_.exe értéket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– ha még nem létezik, akkor létrehozza a HKEY_LOCAL_MACHINE/Software/McAfee kulcsot
– ebben létrehozza a Scan95 alkulcsot, amihez a következő értékeket adja hozzá:
bVShieldEnabled dword:00000000
CurrentVersionNumber 666
DAT NONE
DATFile -2000
die bit** created by $$$$$ MOELLER
VirusInfoURL http://www.norton.com

vagy
bVShieldEnabled dword:00000000
CurrentVersionNumber 666
DAT NONE
DATFile -2000
die bit** created by Moeller_Virus
VirusInfoURL http://yourinfected.com
– ha a C:/Mirc könyvtár létezik, a trójai létrehozza ezen belül a Script.ini file-t, ennek segítségével IRC-n keresztül is megpróbál terjedni (Install_show.exe néven)
– az összes .dat állományt letörli a C:/Program Files/Norton AntiVirus könyvtárban