![[HaBo]](/styles/default/logoklein.png){kind=small}
Achtung! - (Neue) Version des Trojaners "Y3K 1.6MS" wird auch mit den neusten Definitionen von zB Norton Antivirus NICHT gefunden! (Auch nicht Norton AV 2002)
Andere AV-Progz scheinen ihn auch nicht zu erkennen. Der Client wird zwar als Trojaner erkannt (obwohl es eigentlich keiner ist) aber der Server bleibt unentdeckt!
[Nachtrag: Server wurde von -F-Secure AntiVirus v5.30- entdeckt!]
Zur info:
Y3K erinnert in aussehen und funktionen sehr an Sub7 ab 2.2. Verschickt aber zum glück keine message mit IP, wie zB Sub7. Aber das liegt nur an einem bug im Server, bei der nächsten Version wird das aber sicher gehen.
Er funktioniert in allen Windows versionen.. nicht nur win9x.
Er trägt sich zum Autostart in die Registry folgendermaßen ein: (Der Servername variiert allerdings) muß also nicht unbedingt Msscmc32 sein.
&servername="Msscmc32"
&serverpath="System" //path where the server will be installed
&RegistryKeyName="Msscmc32"
&Registry1="false" //writes to: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\+&RegistryKeyName
&Registry2="false" //writes to: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\+&RegistryKeyName
&Registry3="false" //writes to: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\+&RegistryKeyName
&Registry4="false" //writes to: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\+&RegistryKeyName
&NT_Registry1="false" //writes to: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\+&RegistryKeyName
&NT_Registry2="false" //writes to: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\+&RegistryKeyName
&Auto-check="true" //checks if a registry is available and writes on it
&Win.ini="false" //writes to win.ini ([windows],Run=&serverpath)
&System.ini="false" //writes to system.ini ([boot],shell=&serverpath)
Er sucht sich selbst einen passenden Key aus, wenn er auf Auto-Check geschaltet ist.
Also dann.. infiziert euch nicht X(
greetz
Andere AV-Progz scheinen ihn auch nicht zu erkennen. Der Client wird zwar als Trojaner erkannt (obwohl es eigentlich keiner ist) aber der Server bleibt unentdeckt!
[Nachtrag: Server wurde von -F-Secure AntiVirus v5.30- entdeckt!]
Zur info:
Y3K erinnert in aussehen und funktionen sehr an Sub7 ab 2.2. Verschickt aber zum glück keine message mit IP, wie zB Sub7. Aber das liegt nur an einem bug im Server, bei der nächsten Version wird das aber sicher gehen.
Er funktioniert in allen Windows versionen.. nicht nur win9x.
Er trägt sich zum Autostart in die Registry folgendermaßen ein: (Der Servername variiert allerdings) muß also nicht unbedingt Msscmc32 sein.
&servername="Msscmc32"
&serverpath="System" //path where the server will be installed
&RegistryKeyName="Msscmc32"
&Registry1="false" //writes to: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\+&RegistryKeyName
&Registry2="false" //writes to: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\+&RegistryKeyName
&Registry3="false" //writes to: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\+&RegistryKeyName
&Registry4="false" //writes to: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\+&RegistryKeyName
&NT_Registry1="false" //writes to: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\+&RegistryKeyName
&NT_Registry2="false" //writes to: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\+&RegistryKeyName
&Auto-check="true" //checks if a registry is available and writes on it
&Win.ini="false" //writes to win.ini ([windows],Run=&serverpath)
&System.ini="false" //writes to system.ini ([boot],shell=&serverpath)
Er sucht sich selbst einen passenden Key aus, wenn er auf Auto-Check geschaltet ist.
Also dann.. infiziert euch nicht X(
greetz