Náci felhanggal bíró trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2003. február 18.
Utolsó frissítés ideje: 2003. február 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Mérete: 16.503 byte, 11.776 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a System könyvtárban a Thrh1032.dll nevezetű file-t, amely egy futtatható állományt hordoz magában
– létrehozza a következő értékeket – chk0, chs1, chs2, chsA, cht0, cls1, cls2, cls3, cls4, cnk9 – a HKEY_CURRENT_USER/Software/INTEL/VIDEO/CHIP Registry kulcsban
– a DLL állományt minden indításkor betölti, ˝köszönhetően˝ a ThreadingModel Apartment
(Default) [System elérési útvonala]/Thrh1032.dll érték HKEY_CURRENT_USER/Software/Classes/CLSID/{10193F30-1559-6F09-051B-700B2B614800}/InProcServer32 Registry kulcsba való felvitelének
– hozzáadja a Windows Development Features {10193F30-1559-6F09-051B-700B2B614800} bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad Registry kulcshoz
– betölti a Thrh1032.dll a Rundll32.exe futtatásával
– a DLL futásakor létrehozza a ThirdReich10 mutexet, így csak egyszer töltődik be a memóriába a trójai
– egy IRC szerverhez kapcsolódik, majd csatlakozik egy speciális csatornához, ahol értesítheti készítőjét a sikeres fertőzésről
– a támadótól érkező parancsokra vár

A trójai kínálta lehetőségek

– rendszer- és hálózati információk kiszolgáltatása
– file-ok letöltése
– file-ok futtatása