Virový maják č. 14: DonaldD - žádná kreslená pohádka, ale trojský kůň!!

Serverová aplikace může být nakonfigurována s několika různými možnostmi. Ke komunikaci klient-server se používá protokolů TCP nebo SPX. Číslo portu, skrz který může klient komunikovat se serverem, je konfigurovatelné v rozmezí 1 a 65535 (pro TCP je standardně použit port 23476, eventuálně 23477, pro SPX pak 0x9014 nebo 0x9015). Spolehlivou ochranou proti DonaldD mohou být firewallové programy, které neumožní komunikaci mezi oběma aplikacemi (zatím nebyl zaznamenán žádný případ, kdy DonaldD tento způsob zabezpečení dokázal obejít).

Co DonaldD umí?

• vytvářet a mazat složky
• kopírovat, mazat, přejmenovávat, uploadovat a downloadovat soubory
• prohlížet, ukončovat a nastavovat priority procesů
• spouštět programy
• vytvářet a mazat klíče v registrech
• nastavovat hodnoty položek registrů
• nastavovat systémové datum a čas
• ukončovat systém, odhlašovat od sítě, restartovat a vypínat počítač (vypnout počítač lze pouze v případě ATX zdrojů)
• sledovat seznam aktuálně otevřených oken
• získat screenshot celé obrazovky, nebo pouze vybraného okna
• odesílat zprávy do vybraného okna
• modifikovat CMOS (pouze pod Windows 9x)
• přemapovávat a zakazovat libovolné klávesy na klávesnici
• otevírat a zavírat mechaniku CD ROM
• vypínat a zapínat monitor (pouze umožňuje-li to samotný hardware)
• posílat uživateli zprávy v dialogových oknech s libovolně konfigurovatelnými potvrzovacími tlačítky
• přehrávat WAV soubory
• získat heslo k CMOS a spořiči obrazovky
• získat výpis sdílených zdrojů (diskových jednotek, adresářů, tiskáren, ...)

Ruční odstranění ze systému Windows 9x

1. Nastartujte počítač ze systémové diskety, nebo do režimu MS DOS.
2. Přejděte do systémové složky Windows (zpravidla c:\windows\system)
3. Smažte soubory pnpmgr.pci, oleproc.exe, vmldr.vxd.
4. Restartujte počítač,
5. V Editoru registru (Start-Spustit-regedit.exe) přejděte do větve HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\.
6. Smažte celý klíč VMLDR.
7. Restartujte počítač a poté v registrech zkontrolujte, zda nebyl smazaný klíč opět obnoven (to by znamenalo, že odstranění nebylo úspěšné).

Ruční odstranění ze systému Windows NT

1. Spusťte Editor registru.
2. Přejděte do větve HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control \Session Manager.
3. V pravé polovině okna hledejte záznam BootExecute.
4. Klikněte na vybranou položku pravým tlačítkem myši a z menu vyberte Změnit.
5. Uvidíte řadu hexadecimálních čísel a text. Hledejte řetězec bootexec (hexadecimálně 00 62 6F 6F 74 65 78 65 63). Tuto sekvenci smažte.
6. Najděte a smažte v registrech klíče Pdata0 a Pdata1.
7. Restartujte počítač.
8. Spusťte příkazový řádek a smažte soubory bootexec.exe, pmss.exe a oleproc.exe ze systémové složky Windows
9. Restartujte počítač a zkontrolujte registry, zda nebyly obnoveny smazané záznamy.