03/02/2003 16h57 – Atualizado em 03/02/2003 16h57
Dois Cavalos de Tróia foram descobertos na última sexta-feira (31/01/2003). O IRC-Emoz, que se conecta a um canal IRC (Internet Relay Chat), envia comandos sobre funções do sistema como apagar arquivos, exibição de mensagens de erro, adição de arquivos/pastas e realocação de arquivos/pastas. Conforme informações da McAfee Security, a ameaça, originária da Romênia, se copia para o diretório System do Windows como “.exe”. Assim que é executada, adiciona uma chave de registro para que seja carregada toda vez que o sistema for reiniciado: HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion RunServicesNetwork Socket Update. Já ProcKill-Z, de origem desconhecida, tenta interromper vários processos de softwares e segurança. Ele não se adiciona a chaves de registro, nem se copia para o diretório Windows, portanto, basta que máquina seja reiniciada para que o Cavalo de Tróia saia da memória. Ainda assim, há possibilidade de uma carga ser lançada pela ameaça e ser carregada na inicialização da máquina. Abaixo a lista de executáveis onde o Cavalo de Tróia age: ZONEALARM.EXE; VSMON.EXE; ZAPRO.EXE; MINILOG.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE; AVP32.EXE; AVPCC.EXE; AVPM.EXE; NAVAPW32.EXE; NAVW32.EXE; ICLOAD95.EXE; ICMON.EXE; ICSUPP95.EXE; ICLOADNT.EXE; ICSUPPNT.EXE; IFACE.EXE; ANTS.EXE; ANTI-TROJAN.EXE; IAMAPP.EXE; IAMSERV.EXE; BLACKICE.EXE; BLACKD.EXE; WRCTRL.EXE; WRADMIN.EXE; CLEANER3.EXE; CLEANER.EXE; MOOLIVE.EXE; LOCKDOWN2000.EXE; SPHINX.EXE; VSHWIN32.EXE; VSECOMR.EXE; WEBSCANX.EXE; AVCONSOL.EXE; VSSTAT.EXE.
Fonte: Toda Hora