Schoolbus 2.0 kommt in einer EXE-Datei der Größe 328110 Bytes.Diese Datei kann jeden beliebigen Namen haben, da sie nur der Träger des eigentlichen Trojaners ist, sie ist mit dem Programm UPX comprimiert.
Nach dem Starten des Trojaners entpackt sich dieser und legt folgende Dateien frei: c:\windows\system\grcframe.exe 575488 Bytes
c:\windows\system\runonce.exe 16896 Bytes
Die runonce.exe ersetzt die gleichnamige Windows-Datei, die in folgende Datei
umbenannt wird : c:\windows\system\ro.dll (11264 bytes bzw 40960 bytes) Schoolbus 2 läuft wie sein Vorgänger normalerweise über den TCP-Port 54321.
Dieser Trojaner ist seit dem 10.04.1999 im Umlauf. Der Trojaner entält die gängigen Funktionen und kann auch Passwörter an den Clienten übermitteln. AntiViralToolkitPro mit den Virendefinitionen vom 25.02.2000 erkennt die Installierte Version von Schoolbus 2 als Backdoor.Schoolbus.c, die unentpackte EXE-Datei als Backdoor.Schoolbus.b Schoolbus 2 ist mit Delphi von der Gruppe Swyque Software programmiert worden.
Seltsamerweise konnte ich bei mir weder Autostart-Eintragungen feststellen, noch zeigten mir verschiedene Überwachungsprogramme den Versuch einer Eintragung an. Allerdings vermute ich, das das Ersetzen der RunOnce.exe, die ein Bestandteil des Windows Setup Programms ist dazu dienen soll, dass bei jedem Setupvorgang der Trojaner gestartet wird.
Entfernung:
Falls der Trojaner im System aktiv ist (was er bei mir nur nach Starten
des Archives war) entweder den Task grcframe.exe mittels CCTask beenden,
oder unter DOS neu starten.
Dann folgende Dateien löschen (Auf Dateilänge achten, damit nicht versehentlich
die echte runonce.exe gelöscht wird)
c:\windows\system\grcframe.exe 575488 Bytes
c:\windows\system\runonce.exe 16896 Bytes
Dann die Datei
c:\windows\system\ro.dll (11264 Bytes unter Win95, Win98/ME 40960 bytes) in runonce.exe umbenennen.
Besten Dank an SnakeByte für die Analyse und Genehmigung zur Veröffentlichung auf trojaner-info !