Backdoor.Jeem – Registry módosító trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2002. november 15.
Utolsó frissítés ideje: 2002. november 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: 30.720 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: könnyű
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Msrexe.exe néven
– hozzáadja a System Service C:/[System elérési útvonala]/msrexe.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Welcome Registry kulcshoz a következő értékeket:
1c3943
4lkf83
vk8593
2340v93
4c34
c0948273
398349873
– létrehozza a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Swartax Registry kulcsot és hozzáadja az ImagePath C:/[System elérési útvonala]/msrexe.exe értéket
– három TCP portot is megnyit, így lehetővé téve egy távoli behatolónak a fertőzött számítógépre való bejutást (ebből az egyiket SMTP szolgáltatásra használja, ezen keresztül küld e-maileket)