Tento nový trojský kůň se jménem BackDoor.Sysbug byl zaregistrován 25. listopadu 2003. Šíří se klasickou cestou „nakaženého emailu“ jako jeho podvržená příloha. Jeho alternativní jména jsou BackDoor-CAG (McAfee) nebo Troj/Sysbug-A (Sophos).
Zavirovaný email má následující charakteristiku:
Od: james2003@hotmail.com
Předmět: Re[2]: Mary
Text emailu:
I have been thinking about you all night. I would like to apologize for the other night when we made beautiful love and did not use condoms.
I know this was a mistake and I beg you to forgive me.
I miss you more than anything, please call me Mary, I need you. Do you remember when we were having wild sex in my house? I remember it all like it was only yesterday. You said that the pictures would not come out good, but you were very wrong, they are great. I didn`t want to show you the pictures at first, but now I think it`s time for you to see them. Please look in the attachment and you will see what I mean.
I love you with all my heart, James.
Email dále obsahuje zavirovanou přílohu se jménem „Private.zip“ o délce 11808 bajtů, která obsahuje vlastní vir „wendynaked.jpg.exe“.
Virus se šíří na operačních systémech Windows 2000, 95, 98, Me, Windows NT a Windows XP. Naopak nepostižené jsou systémy DOS, Linux, Macintosh, OS/2, UNIX.
Pokud se vám omylem podaří spustit soubor v zavirované příloze, zkopíruje se vir do adresáře operačního systému pod názvem Sysdeb32.exe. Zároveň se vir zaregistruje do systémového registru v klíči HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, čímž si zajistí pravidelný start po spuštění operačního systému.
Vir na napadeném počítači otevře TCP port 5555, na kterém naslouchá a čeká na příkaz od jeho autora, což může být velmi nebezpečné. Během činnosti se pokouší spojit na webovou stránku http://finance.red-host.com.
Dále sbírá o napadeném počítači následující informace:
- emailové účty (nastavení vašich emailových účtů)
- informace o nastavení SMTP (odesílání pošty)
- informace o nastavení POP3 (příjem pošty)
- informace o nastavení NNTP (Net News Transfer Protocol)
- informace o nastavení RAS (vytáčené připojení k Internetu)
Vzhledem k faktu, že vir je evidován teprve několik hodin, nejsou jeho statistiky šíření zatím ještě alarmující. Nicméně již dnes většina antivirových společností má virovou definici toho záškodníka ve své aktualizaci antivirového programu. Nezbývá než doporučit těchto aktualizací využít.
