Backdoor.OptixPro.10.b – rendszerünkbe furakodó trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2002. december 17.
Utolsó frissítés ideje: 2002. december 17.
Veszélyeztetett rendszerek: Windows 3.x/9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Macintosh, OS/2, UNIX, Linux
Mérete: 353.280 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Mep1e5.tmp.exe néven
– létrehozza a InternalSystray [System elérési útvonala]/mep1e5.tmp.exe bejegyzést a következő Registry kulcsokban:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– a Windows könyvtárba másolja a Wmmiexe.exe-t; ez egy trójai program
– a HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command Registry kulcs Default értékét megváztatja a következőre: wmmiexe.exe ˝%1˝ %*
– a fenti módosítás révén minden EXE állomány megnyitásakor futtatásra kerül a trójai is
– Windows 9x/Me alatt módosítja a System.ini állományt a következőképp:
[boot]
Shell=Explorer.exe C:/[System elérési útvonala]/mep1e5.tmp.exe
– Windows 9x/Me alatt módosítja a Win.ini állományt a következőképp:
[windows]
Run=C:/[System elérési útvonala]/mep1e5.tmp.exe
– képes behatolásvédelmi programok futó processeit leállítani
– a rendszerben tárol jelszavakat megszerzi, bizalmas információkhoz pedig a billentyűzet-leütés figyelésével jut hozzá
– e-mailen keresztül értesíti a kliens oldalt, majd parancsokra vár

A trójai kínálta lehetőségek

– rendszer- és hálózati információk kiszolgáltatása
– AOL AIM részleteinek megszerzése
– zavaró műveletek végrehajtása
– a trójai telepítésének menedzselése
– file-ok feltöltése és futtatása
– a Windows 9x/Me alatt ismert hiba kihasználásával való rendszerösszeomlás véghezvitele