Donald Dick 1.55 ist ein Trojaner, der sich als Virtueller Gerätetreiber tarnt um nach jedem Bootvorgang neu geladen zu werden. Die Größe der Dateien ist immer konstant, jedoch können der TCP und IPX Port frei konfiguriert werden. Ebenso kann der Ort der Registry Einträge und die Namen der Dateienabweichen, also am Besten mit einem der kommerziellen AV-Produkte entfernen. Die Konfiguration des Servers erfolgt mit einer simplen INI-Datei, ist also sehr einfach, jedoch geschieht die Bedienung des Clients über eine Textsteuerung, was mich zu der Annahme verleitet, das nur wenige diesen Trojaner verwenden werden, da die Bedienung zu umständlich ist.
AVP erkennt diesen Trojaner als Trojan.Win32.TrojanRunner.Smorph, erkennt zuverlässig die TSDM.DAT und die NMIOPL.EXE, jedoch wird die INTLD.VXD nicht erkannt. Ebenso werden auch die Registry Einträge nicht gelöscht.Der Trojaner verwendet normalerweise den TCP-Port 23476 und den SPX Port 9014.
Die folgenden Dateien werden bei einem unveränderten Server verwendet :
C:\windows\System\TSDM.DAT 226304 bytes
C:\windows\system\intld.vxd 10843 bytes
C:\windows\system\nmiopl.exe 219648 bytes
C:\WinNT\system\lsasup.exe 226304 bytes
C:\WinNT\system\samcfg.exe 10843 bytes
W9X Registry Eintrag:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\INTLD
WinNT Registry Eintrag:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
Zum Entfernen des Trojaners, zuerst den Registry Key löschen.
Danach Rebooten oder per CCTASK den Prozess 'TSDM.DAT' / 'LSASUP.EXE' beenden.
Danach die oben angegebenen Dateien löschen.
Besten Dank an SnakeByte für die Analyse und Genehmigung zur Veröffentlichung auf trojaner-info ! |