Im Umlauf seit ca.
seit Mitte September 1999 Filegröße ZIP/EXE
Client: 640 KB, Server: 238 KB
jeweils als "Originaldatei", nicht als Systeminfektion.
Mögliche Programm-Icone
Eintragung zwecks Autorun bei Systemstart
siehe Beschreibung
Mögliche Verzeichnisse, wo auffindbar
C:\Windows\System\ "oleproc.exe & pnpmgr.pci"
Beschreibung
Der Client trägt den Namen "Ddcg152.exe" (Grösse 640 KB) und die Serverdatei "Dds152.exe (Grösse 238 KB - wobei der Name abweichen kann). DonaldDick152 ist ein sogenannter Backdoortrojaner (nach dem Muster NetBus, BackOrifice, SubSeven etc.). Das Besondere bei diesem Trojaner ist die Art der Infizierung des betroffenden Systemes. Nach der Ausführung der Server-Datei, werden zwei Dateien Namens "pnpmgr.pci (129 KB)" und "oleproc.exe (70,4 KB)" im Verzeichnis: "C:\Windows\System\..." angelegt. Zwecks Autorun des Servers "pnpmgr.pci" wird folgender Schlüssel in der Registrierung angelegt:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VMLDR - StaticVxD - "vmldr.vxd"
Somit ist ist ein Autostart des Trojaners bei Systemstart gewährleistet. Die Server tarnt sich als Treiberdatei, welches durch den Anwender kaum zu verfolgen ist.
Besonderheiten
Die Art der Infizierung zwecks Autorun
Entfernung
Der Registrierungsschlüssel StaticVxD - "vmldr.vxd" aus dem oben genannten Pfad löschen. Windows neu starten. Nun die beiden Dateien "pnpmgr.pci (129 KB) und "oleproc.exe" (70,4 KB) aus dem Windows\Systemordner löschen.