Backdoor.Optix.05 – Registry átíró trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2003. február 6.
Utolsó frissítés ideje: 2003. február 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 67.584 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– egy debugger vagy egy olyan ablak után kutat, melynek fejléce a következő szavak valamelyikét tartalmazza:
ExeSpy
DebugView
ResSpy
MEMSPY
ProcDump32
Memory Editor
FrogsICE
Memory Dumper
MemoryMonitor
DeDe
– amennyiben talál ilyet, megkísérli újraindítani a rendszert
– megpróbálkozik a rendszerre telepített behatolásvédelmi alkalmazások processeinek lezárásával, ablakainak becsukásával
– bemásolja magát a Windows könyvtárban egy Olefiles nevezetű mappába, Server.exe-ként
– hozzáadja a RunProg [System elérési útvonala]/server.exeadCurrentPwrScheme bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– létrehozza a HKEY_LOCAL_MACHINE/Software/EES Registry kulcsot
– hozzáadja az EnableAutodial 0 bejegyzést a következő Registry kulcshoz:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Hardware Profiles/Current/Software/Microsoft/windows/CurrentVersion/Internet Settings
– hozzáadja a következő értéket: StubPath [System elérési útvonala]/server.exe a HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components/{9EC0745F-CAD3-628A-48E9-02B9AFEC8E74} Registry kulcshoz
– a Common Startup [Windows elérés útvonala]/olefiless bejegyzést hozzáadja az alábbi Registry kulcshoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/User Shell Folders
– a trójai alkotójának küld egy ICQ üzenetet, majd parancsokra vár