Dieser Trojaner öffnet einen FTP Server auf dem infizierten System, wodurch es dem Angreifer ermöglicht wird Dateien aufzuspielen, zu downloaden, zu kopieren, zu löschen und ähnliches.
Nach dem Start des Trojaners werden folgende Dateien installiert:
C:\windows\regmak.exe 12288 bytes
c:\windows\system\serv-u.ini 1410 bytes
C:\windows\system\windll16.exe 607744 bytes
Die Serv-U.ini ist eine Konfigurationsdatei, daher können die Größenangaben abweichen.
Damit der FTP-Server jedesmal wieder gestartet wird, wird folgender Eintrag in der Registry getätigt:
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\
WinDLL_16="C:\C:\WINDOWS\system\windll16.exe /h"
Zum Entfernen einfach diesen Eintrag löschen und unter DOS die oben genannten Dateien entfernen. Besten Dank an SnakeByte für die Analyse und Genehmigung zur Veröffentlichung auf trojaner-info ! |