Der erste Trojaner, welcher in AktiveX programmiert wurde. Diese neue Technolgie dieses neuen Backdoor-Trojaners, könnte eine der fatalsten Bedrohungen im Internet werden. Zum Schutz vor Trojanischen Pferde reicht es nicht mehr, lediglich Programme unbekannter Herkunft nicht zu öffnen und/oder einfach zu löschen. Dieser Trojaner versteckt sich in Form eines Scriptes in einer HTML-Datei. Wird diese Datei durch einen Browser oder HTML-fähigem Mailprogramm aufgerufen und heruntergeladen, verbleibt das ActiveX Programm zwecks Installation des Trojaners auf dem System. Wenn der Virus also durch den Aufruf der infizierten HTML-Datei (Webseite oder E-Mail in HTML-Form) aktiviert wurde, wird folgender File angelegt:
Unter Windows 95/98
C:\Windows\StartMenu\Programs\StartUp\windows95.hta
Unter Windows NT
C:\Windows\Profiles\DefaultUser\StartMenu\Programs\Startup\windowsNT.hta
Dieser File beinhaltet eine Menge von Befehlen, sobald das betroffende System neu gebootet wird. Dieser AktiveX-Trojaner ermoeglicht den unbemerkten Download eines Trojaners von einem entfernten FTP-Server. Von welchem FTP-Server und welche Datei, kann zuvor durch den "Hacker" im Script-Code festgelegt werden.
Dieser Trojaner soll nur unter dem Browser Internet Explorer 5.0 funktionieren. Dann auch nur, wenn die entpsrechenden AktiveX-Elemente entsprechend "freigeschaltet" sind. Ausserdem bietet die Firma Microsoft auch einen Patch an, der vor der Ausführung von AktivX-Scripten warnt. Netscape (scheint) nicht davon betroffen zu sein. Bisher sind auch nur derartige Scripte bekannnt, welche unter englischsprachigen Windows-System funktionieren. Es wird jedoch lediglich eine Frage der Zeit sein, bis so etwas auch unter deutschen Systemen gesichtet wird.
Diese Meldung beinhaltet lediglich einen kurzen Überblick bezüglich dieser neuen Version Trojanischer Pferde. Bisher ist es die einzige Datei, welche in dieser Art gesichtet wurde. Wie weit sich andere Varianten verbreiten, kann heute noch nicht gesagt werden. Es wäre durchaus denkbar, "Evil" eher als Spionagemittel, statt Trojanisches Pferde für "Spieler u. Probierende" eingesetzt wird. Bisher sind nur wenige Virenscanner in der Lage, "Evil" zu identifizieren.