Trojan Horse para Windows via Internet. Quando o
backdoor está sendo executado, permite o acesso de forma
ilimitada a invasores que estejam executando o cliente
apropriado através de uma conexão Internet.
Este cavalo de tróia instala 3 arquivos nos diretórios
WINDOWS e WINDOWS/SYSTEM. São eles:
NODLL.EXE - Instalado na pasta WINDOWS. Este é o
programa que carrega o servidor principal do trojan. É
executado através da linha "Run=" no arquivo de
configuração WIN.INI. Este arquivo é identificado como
BackDoor-G.ldr, SERVER.EXE, KERNEL16.DL ou WINDOW.EXE.
Este arquivo é o principal módulo do trojan, responsável
por receber os pedidos do invasor pela Internet. Ele é
identificado como BackDoor-G.srv. Este programa é
usualmente o primeiro a ser recebido e contém cópia de
dois outros arquivos.
WATCHING.DLL ou LMDRK_33.DLL - Esta dll é copiada para a
pasta WINDOWS/SYSTEM. Ele é usado pelo trojan para
monitorar as conexões Internet com o software cliente
(invasor). Este arquivo é identificado como BackDoor-G.dll.
Outros arquivos relacionados com programa cliente são
identificados como BackDoor-G.cli e o programa de
configuração é identificado como BackDoor-G.cfg.
NOTA: Os nomes de arquivos listados acima são apenas um
guia, pois o programa de configuração pode ser usado
para modificar estes nomes.