Im Umlauf seit ca.
05.09.1999 Filegröße ZIP/EXE
637 KB/277 KB
Mögliche Programm-Icone
Eintragung zwecks Autorun bei Systemstart
Mögliche Verzeichnisse, wo auffindbar
Windows-Ordner
Beschreibung
Auch diese Version besteht zu einem aus dem Clienten (DTv3.1 Client.exe, Groesse: 637 KB) und dem Server (Groesse: 277 KB), welcher den eigentlichen Trojaner beinhaltet.
Deep Throat ist ein weitverbreitetes Backdoorprogramm, welches den Zugriff auf infizierte Systeme ermoeglicht. Deep Throat verfügt unter anderem über folgende
Funktionen:
- der Server kann mittels des Clienten dahingegehend veraendert werden, dass dieser Passwortgeschuetzt ist und nur Zugriff durch "bestimmte" Leute auf ein infiziertes System ermöglicht wird.
- Benachrichtigung an eine beliebige ICQ UIN, wenn der Server auf einem infizierten System sich online befindet.
- Einstellungsmöglichkeiten, welche "Fehlermeldungen" erscheinen soll, wenn der Anwender die Server.exe startet. (Server.exe kann vom Namen her natürlich abweichen).
- Scannen nach aktiven Servern im Internet (also infizierte Systeme, die sich zur Zeit online befinden).
- FTP Server (Port veränderbar)
- Neustart des Systemes
- Versenden von Nachrichten
- Bilder anzeigen, Ordner anlegen, Programme starten, löschen von Dateien, Sounds abspielen, Files anzeigen lassen, CD Rom Laufwerk bedienen.
- Über den Standartbrowser des infizierten Systemes den User auf eine Webseite nach Wahl leiten lassen.
Dieses sind nur einige, wenige Funktionen, über die DeepThroat 3.1 verfügt !
Deep Throat v 3.1 ist ein recht mächtiges Tool und aufgrund seiner hohen Verbreitung könnte dieser Trojaner NetBus oder Back Orifice dahingehed den Rang ablaufen.
Nach dem ein User die Server-Datei ausgeführt hat, wird dieser im Verzeichnis: C:\Windows\systray.exe (Grösse: 278 KB) installiert. Bitte NICHT mit der Original systray.exe des Windows-Systemes verwechseln ! Die Original systray.exe befindet sich im Verzeichnis C:\Windows\Windows\System\systray.exe (Grösse: 36 KB).
Damit der Server bei jedem Systemstart ebenfalls ausgefünrt und im Hintergrund des Systemes läuft, wir eine Eintragung in der Registrierung unter dem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run Systemtray= c:\windows\systray.exe
vorgenommen.
Besonderheiten
Eintrag in der Registrierung wird wiederhergestellt, wenn dieser NICHT im abgesichertem Modus entfernt wurde ! Sehr hohe Verbreitung schon bei den älteren Version zu beobachten.
Entfernung
Gehe zunächst in den abgesicherten Modus, da sonst die gelöschte Eintragung in der Registrierung wiederhergestellt wird. Starte Dein System neu. Bei Windows 98: Die "Strg-Taste" beim Start gedrückt halten, bei Windows 95 die "F8-Taste" drücken, wenn die Meldung "Windows wird gestartet" erscheint. Jetzt kommt ein Menü, aus dem Du "abgesicherten Modus" wählst. Der Start wird jetzt länger dauern als gewohnt. Nicht erschrecken, sollte Deine Festplatte wie verrückt rattern, ist normal, genau wie die grosse Auflösung, die dann erscheinen wird.
Schlüssel aus der Registrierung entfernen (siehe hierzu auch meine Rubrik "Entfernung"). Die "systray.exe" aus dem Verzeichnis c:\windows\ löschen (Datei hat die Grösse von 278 KB). Zur Sicherheit noch mal System "normal" starten und Einträge kontrollieren.