Im Umlauf seit ca.
ca. Oktober 1998 Filegröße ZIP/EXE
265 KB/254KB
Mögliche Programm-Icone
Eintragung zwecks Autorun bei Systemstart
Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunSystemDLL32 = "Laufwerksbuchstabe und Pfad, wo man das Programm ausgeführt hat".
Mögliche Verzeichnisse, wo auffindbar
siehe unter "Eintragung..."
Beschreibung
Bestehend aus Client (Remot Control, Größe: 265 KB) und dem Server, der sich als "Systempatch". Der eigentliche Trojaner (also der Server) hat eine Größe von 254 KB.
Mit Hilfe des Clienten ist es möglich nach aktiven DeepThroat - Servern im Netz zu scannen (also nach infizierten Computersystemen, die sich gerade online befinden), Befehle wie z.B. öffnen der CD-Romlade, runterfahren des Rechners, versenden von Nachrichten. - Auch das Stehlen von Passwoertern ist mit diesem Programm möglich.
Nachdem "Systempatch" ausgeführt wurde, erfolgt eine Eintragung in der Registrierung unter folgendem Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunSystemDLL32 = "Laufwerksbuchstabe und Pfad, wo man das Programm ausgeführt hat". Das Programm wird NICHT nochmals in ein anderes Verzeichnis kopiert Lediglich wird der Trojaner nach jedem Systemstart ebenfalls mitgestartet und läuft im Hintergrund des Systemes. Die "Systempatch.exe" kann jetzt nicht mehr geloescht werden, da diese von Windows verwendet wird.
Besonderheiten
Kopiert sich nicht selbständig in andere Verzeichnisse.
Entfernung
Entfernung: Oben genannten Pfad aus der Registrierung löschen, System neu starten und die genannte "Systempatch.exe" aus dem Verzeichnis löschen, wo diese Anfangs ausgeführt wurde.