24 sierpnia 2002

TrojanDownloader Win32.Ultimx - rozsyła pobrane pliki

Jest to koń trojański rozsyłający w sieci lokalnej pliki pobrane ze stron WWW. Szkodnik ma postać pliku PE EXE o rozmiarze około 28 KB i został stworzony przy pomocy środowiska programistycznego MS Visual C++.

Po uruchomieniu trojan kopiuje się do folderu systemowego Windows i tworzy klucz auto-run w rejestrze systemowym:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
rdvs = %nazwa trojana%

Następnie szkodnik podejmuje próbę pobrania pliku z zapisanego w jego kodzie adresu URL i umieszczenia go na zainfekowanej maszynie pod nazwą DIALER.EXE lub DIALER123.EXE.

Po pomyślnym zapisaniu pobranego pliku trojan rozpoczyna skanowanie sieci lokalnej. Po znalezieniu komputera z udostępnionymi zasobami szkodnik kopiuje na niego plik DIALER123.exe.

Pliki DIALER.EXE oraz DIALER123.EXE to programy pozwalające na dodzwanianie się do płatnych serwisów zawierających treści pornograficzne.