Trojan.Win32.Dlder

forrás: Prim Online forrás: Prim Online, 2002. január 8. 23:53
A trójai program a felhasználó magánszféráját megsértve, futtatható programok letöltésével és indításával egy biztonsági rést nyit a rendszerben. Ezt a két alkotóelemből álló kémkedő trójai programot 2001. december végén fedezték fel. Névváltozatai: DlDer, Troj_DlDer
Ez a kémprogram a LimeWire és a Grokster fájlcsere szoftverében, valamint a Fastrack Kazaa intall csomagjaiban terjed, más spyware fileok kíséretében. A Dlder még akkor is telepítésre kerül, ha a felhasználó az eredeti programcsomag egyetlen elemét sem választja ki.

Ha a trójai már fel van telepítve a felhasználó gépére, akkor az folyamatosan frissíti a főmodulját, mely a 2001-007.com weboldalhoz kapcsolódik és jelentést készít a felhasználó adatairól: User ID, használt web böngésző, a látogatott webhelyek listája és megnyitott Windows ablakok adatai.

A trójai program fő eleme egy Explorer.exe nevű állomány, amely a Windows \Explorer\ alkönyvtárába kerül (nem összekeverendő az eredeti Explorer.exe-vel ). Ez a komponens folyamatosan frissül a trójai program második része által, amelynek "DlDer.exe" a neve és a Windows könyvtárában található.

A DlDer.exe állomány elindítása után letölti a fent említett Explorer.exe állományt egy weboldalról és beteszi a \Windows\Explorer\ könyvtárba. Ezután létrehoz egy start-up kulcsot a regisztrációs bejegyzések között. Ez a következő rendszerindításkor aktiválja az Explorer.exe állományt, ami létrehoz egy másik registry bejegyzést a DlDer.exe indításához és megpróbál kapcsolódni a már korábban említett 2001-007.com oldalra, hogy a begyűjtött adatokat oda továbbítsa.

A védekezéshez javasolt mindkét trójai komponens törlése. Ha ezeket nem tudnánk törölni, mert zárolva vannak, akkor Windows 9x esetében DOS alól törölhetjük, vagy Windows NT/2000/XP esetén átnevezhetjük őket és az újraindítás után már törölhetőek lesznek.

Az F-Secure és Kaspersky Anti-Virus programok a 2002. január 3-i adatállományokkal már felismerik a fertőzést.