Backdoor.Unifida – ICQ-ra utazó trójai program

A trójai program tulajdonságai

Felfedezésének ideje: 2003. február 24.
Utolsó frissítés ideje: 2003. február 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 24.064 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– a System könyvtárba másolja fel magát .exe névvel
– az alábbi Registry kulcsok default értékét változtatja meg oly módon, hogy a fenti állományra mutassanak:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– létrehoz egy Registry kulcsot: ˝HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent/Apps/ ˝ (két szóközzel a végén)
– létrehozza az alábbi bejegyzéseket és értékeket a [két szóköz] Registry kulcsban:
Enable Yes
Parameters ˝˝
Path .exe
Startup [System elérési útvonala]
– a fentieknek köszönhetően minden alkalommal elindul a trójai, amikor az ICQ klienst futtatja a felhasználó
– Windows 9x/Me alatt a trójai service processként regisztrálja magát; így el tudja rejtőzni a tasklistából
– megpróbálkozik a számítógépen tárolt jelszavak (dialup, URL, megosztás stb.) megszerzésével
– a kliens oldalt ICQ pageren keresztül értesíti, illetve számos levelezőlistára is továbbítja a megszerzett információkat