Futásakor lemásolja magát az alábbi mappákba:
C:\Documents and Settings\<felhasználó neve>\userinit.exe
és
C:\WINDOWS\system32\ntdevice.exe
ez utóbbit el is indítja új folyamatként.
Az alábbi mappábban:
C:\Documents and Settings\<felhasználó neve>
létrehozza az alábbi állományt:
pizda_ntload.dll
ez egy trójai program, melyet Trojan.DR.Agent2!V4Za4BhIM3U néven detektálunk.
Az alábbi regisztrációs kulcs alatt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
az alábbi bejegyzést hozza létre:
"C:\WINDOWS\system32\ntdevice.exe"
Az alábbi regisztrációs kulcs alatt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Az alábbi bejegyzést hozza létre:
"C:\Documents and Settings\Felhasználó neve\userinit.exe"
Az alábbi regisztrációs kulcs alatt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
az alábbi bejegyzést hozza létre:
"explorer.exe C:\WINDOWS\system32\ntdevice.exe"
A létrehozott állományok rejtettek, a Windows explorer-rel nem láthatóak, valamint a létrehozási dátumokat is átírja az Operációs rendszer telepített időpontjára.
Távoli helyre kapcsolódik:
blader4.co.cc
|
Alacsony
