Dieser Trojaner benutzt ein normales, aber leicht verändertes Programm (ServU) um einen FTP - Server auf dem infizierten Rechner zu öffnen. Der Trojaner liegt normalerweise in einer 546218 Bytes großen EXE Datei vor. Diese Datei ist ein selbstentpackendes ZIP Archiv, die mehrere Dateien enthält.
Nach dem Start werden folgende Dateien entpackt:
Rundlls.exe - Der eigentliche FTP-Server
closew.bat - Datei zum Starten des Servers
Die Datei Closew.bat enthält folgenden Text:
"@prompt @START C:\WINDOWS\RUNDLLS.EXE /h "
Diese ist zu löschen und folgender Eintrag aus der Win.ini zu entfernen:
load = closew
Die Datei Rundlls.exe kann im Grunde auf dem Rechner verbleiben, sollte aber zur Sicherheit auch gelöscht werden. Danke an "SnakeByte" für die Analyse und Genehmigung zur Veröffentlichung auf troaner-info.de ! |