Im Umlauf seit ca.
ca. Mai 98 (je nach Version) Filegröße ZIP/EXE
unterschiedlich, je nach Version.
Mögliche Programm-Icone
Eintragung zwecks Autorun bei Systemstart
NUR Version 1.06: System.ini unter "Shell=unter Parameter /1 : "Shell=Explorer.exe Io.exe/1 ein.
Die Versionen 1.04 und 1.05 tragen sich nirgendwo ein !
Mögliche Verzeichnisse, wo auffindbar
NUR Version 1.06: Windows-Systemordner
Beschreibung
Die Version 1.06 ist besonders gefährlich. Dieses Programm legt eine Kopie im Windows\Systemordner Namens Io.exe an, trägt sich in die System.ini unter "Shell=Parameter /1 ein: "Shell=Explorer.exe Io.exe/1. Somit ist gewährleistet, daß die Io.exe bei jedem Systemstart mit gestartet wird. Man erkennt dieses Programm, wenn man die Tasten "Alt+Strg. u. Entf." betätigt. So ist ein Eintrag "Io" zu entdecken.
Dieser Trojaner stiehlt Passwörter von AOL- und T-Online - Usern. Auch ist es unerheblich, ob der User sein Passwort auf seinem System abspeichert oder nicht. Die Io.exe zeichnet die Tastaturfolge bei Eingabe des Passwortes auf. Jedoch ist die Io.exe auf das deutsche Anmeldefenster von AOL angewiesen, d.h. es funktioniert nicht bei der z.B. amerikanischen Zugangs- software. Diese Informationen, sowie die Dateien "main.idx" (der AOL-Software) und die Dateien "DBServer, PW.ini" der T-Online Software werden dem Autor an die Mailadresse "Barret1998@mindless.com" zugeschickt.
Die 1.04 u. 1.05 ist nicht in der Lage die Tastaturfolgen bei Eingabe der Passwoerter aufzuzeichnen. Diese Versionen legen weder Kopien im Windows\Systemordner noch werden Ein- tragungen in Systemdateien (System.ini, Win.ini) vorgenommen.
Diese beiden Versionen versenden lediglich die o.g. Dateien, in denen die Zugangspasswörter abgespeichert werden, wenn der Anwender die Funktion nutzen sollte. Version 1.04 und 1.05 werden nur aktiv, sobald der Anwender das Mailprogramm benutzen sollte.
Besonderheiten
Es handelt sich hier um voll funktionsfähige Mailprogramme, die es den Anwender ermöglichen anonyme Mails zu versenden. Die 1.06 Version trägt sich in die System.ini ein, welches äusserst selten bei Trojanischen Pferden ist. Laut Angaben eines Users, soll eine der Versionen sogar auf einer Zeitungs-CD gegeben haben. Dieses kann ich nicht nachvollziehen.
Entfernung
Die Versionen 1.04 und 1.05 brauchen lediglich nur gelöscht zu werden. Bei Version 1.06: Eintragung in der System.ini entfernen, System neu booten, Io.exe und Massmail106.exe löschen.