Dieser Trojaner verwendet wie FTPCMP den FTP Server Serv-U um einem Angreifer den Zugriff auf Dateien zu ermöglichen. Der FTP-Server läuft hierbei auf Port 6969
Allerdings wird der Server hier anders gestartet. Und zwar durch einen Aufruf der Batch Datei CLOSEW.bat in der Datei Win.ini.
[windows]
load=closew
Zum Entfernen diesen Eintrag und unter DOS folgende Dateien löschen.
C:\windows\rundlls.exe 607744 Bytes
C:\windows\system\Serv-u.ini 533 Bytes
c:\windows\closew.bat 43 Bytes Besten Dank an SnakeByte für die Analyse und Genehmigung zur Veröffentlichung auf trojaner-info !