Reklámokkal és betárcsázóprogramokkal elárasztó trójai

A trójai paraméterei

Felfedezésének ideje: 2005. január 19.
Utolsó frissítés ideje: 2005. január 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 8200 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: nehéz

Aktiválódása esetén lezajló események

– létrehozza a BeavisMutex és a ButtheadMutex nevű mutexeket, így akadályozva meg, hogy többször is betöltődjön a memóriába
– felmásolja magát a System könyvtárba soft.exe és egy véletlenszerűen választott nevű EXE file képében
– létrehozza a következő alkulcsokat a Registry-ben: HKEY_CURRENT_USER/Software/MicrosoftActive Setup/Installed Components/{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components/{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
– hozzáadja a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/run és a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/run kulcsokhoz a Web Service=[System elérési útvonala]/[véletlenszerű file-név].exe bejegyzést
– hasonlóképpen jár el run=[System elérési útvonala]/soft.exe bejegyzés esetén is, melyeket a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows és a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows kulcsokhoz ad hozzá
– további Registry módosításokkal letiltja a Windows saját tűzfalát, a rendszervisszaállítási és az automatikus frissítési funkciót, illetve a Windows XP SP2-vel rendelkező rendszerekben a Security Center visszajelzéseit is
– létrehozza a Windows könyvtárban az explorer.new és a wininit.ini állományokat
– megfertőzi az ugyanitt található explorer.exe-t
– számos adware és betárcsázóprogramot tölt le az admin2cash.biz domainről