Der Spaeher Version 1 - Eigenschaften, Erkennung und Entfernung - (Backdoor

Im Umlauf seit ca.
ca. Anfang August 1998

Filegröße ZIP/EXE
Client: 417 KB / Server: 184 KB

Mögliche Programm-Icone

Eintragung zwecks Autorun bei Systemstart

Mögliche Verzeichnisse, wo auffindbar
Windows-System-Ordner

Beschreibung
Auch hier handelt es sich um ein sogenanntes Backdoor-Programm. Bestehend aus dem Clienten DerSpaeher.exe (417 KB) und dem Server Hallo.exe (184 KB).
ACHTUNG ! Der Server kann nur installiert werden, sofern die VB Runtime auf dem betreffenden System vorhanden ist. Ansonsten erscheint eine Fehlermeldung und das System wird nicht infiziert. Nachdem der Anwender die "Hallo.exe" ausgefuehrt hat, wir der Server in das Verzeichnis: C:\Windows\System unter dem Namen: dkbdll.exe (Groesse 184 KB) kopiert. Desweiteren erfolgt eine Eintragung zwecks Autorun (damit der Server bei jedem Systemstart mitgestartet wird) in der Registrierung unter: HKEY_LOCAL_Machine\SOFTWARE\Microsoft\Windows/ CurrentVersion\Run "Explore= C:\WINDOWS\System/dkbdll.exe Hi. - Der Server wird im Windows-Task NICHT angezeigt. Dieser Trojaner verfuegt unter anderem ueber folgende Funktionen, welche mittels des Clienten ueber das Internet auf dem infizierten System moeglich sind. Eingriff in die Registrierung, Hintergrundbild veraendern, Bildschirm- schoner starten, Chatfunktion, Meldungen auf den Bildschirm senden, Abruf von Systeminformationen, Tastaturueberwachung, oeffnen des Browsers mit Abruf einer URL nach Wahl, oeffnen/ schliessen der CD-ROM-Lade, Computer ausschalten/runterfahren, Bildschirmabsturz. Dieses sind nur einige der zahlreichen Funktionen ueber die dieser Trojaner verfuegt. Diesen Trojaner stufe ich nach der jetzigen Funktion als "mittelgefaehrlich" ein. Der Autor des Programmes weisst auf seiner Downloadseite darauf hin, dass dieses Programm in keinem Fall als Trojaner verwendet werden darf. Stellt sich lediglich die Frage, warum keine serioese Installationsroutine in den Server eingebaut wurde. In den Meta-Tags der Internetseite wurden Suchbegriffen wie "Trojaner, Der neue Trojaner..." einbezogen.

Besonderheiten
Im Windows-Task nicht sichtbar

Entfernung
Den Pfad:
HKEY_LOCAL_Machine\SOFTWARE\Microsoft\Windows/ CurrentVersion\Run in der Registrierung öffnen, Eintrag "Explore= C:\WINDOWS\System/dkbdll.exe Hi" entfernen, System neu booten, die Datei "dkbdll.exe (Groesse 184 KB)" aus dem Verzeichnis: C:\Windows\Systemb löschen.