Backdoor.Vmz – a rendszer sebezhetőségét kihasználó trójai

A trójai program tulajdonságai

Felfedezésének ideje: 2002. december 17.
Utolsó frissítés ideje: 2002. december 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– a System32/Microsoft/Crypto könyvtárba az alábbi file-okat telepíti fel:
Cygregex.dll: nem fertőző állomány
Cygwin1.dll: nem fertőző állomány
Firedaemon.exe: nem fertőző állomány; egy kereskedelmi program
First.exe: IRC bot
Ir.dll: szöveges konfigurációs állomány
Regex.dll: nem fertőző állomány
Scv.bat: további állományok indításáért felelős batch file
Scvhost.exe: IRC file-szerver
Wait.com: nem fertőző állomány; időkésleltetésre használható program
– csak a First.exe, az Scv.bat és az eredeti telepítőprogram fertőzésveszélyes
– service-ként regisztrálja az Scv.bat az IRC file-szervert és futtatja az IRC botot; ezáltal a hacker átveheti a rendszer feletti hatalmat
– azon a rendszereken képes működni ez a trójai, amelyek nem rendelkeznek a Microsoft Internet Information Server program Web Server Folder Traversal nevű hibájának javításával