Connect with us

technokrata

Backdoor.SchoolBus.B – file-törlő trójai program

Dotkom

Backdoor.SchoolBus.B – file-törlő trójai program

A Regedit és az Msconfig esik áldozatául a trójai működésének.

A trójai program tulajdonságai

Felfedezésének ideje: 2003. február 10.
Utolsó frissítés ideje: 2003. február 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– a System könyvtárba felmásolja a Rundll.exe nevű állományt, amely a trójai kódját tartalmazza
– letörli a Windows részeinek számító Regedit.exe és az Msconfig.exe file-okat
– létrehozza a következő állományokat a System könyvtárban:
Sysmon.exe, Explorer.exe, Shell32.exe
– hozzáadja a rundll ˝c:windowssystem
undll.exe˝ bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Active Setup/Installed Components/Rundll Registry kulcshoz hozzáadja a következő értékeket:
rundll ˝c:windowssystem
undll.exe˝
rundll32 ˝c:windowssystem
undll32.exe˝
– létrehozza a Windows könyvtárban a VCM könyvtárat és bemásolja ide magát futtatható formátumban



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés