A Regdor trójai megpróbálja átvenni az irányítást a fertőzött számítógépek felett, majd igyekszik segíteni a támadók munkáját.

A Regdor trójai legfontosabb feladata, hogy egy hátsó kaput nyisson a fertőzött rendszereken, és ezzel lehetővé tegye a terjesztői számára, hogy hozzáférjenek az érintett rendszerek erőforrásaihoz. A trójai ehhez a 443-as TCP portot igyekszik felhasználni, így ennek a hálózati portnak a tűzfalakon való szabályozására különösen érdemes odafigyelni.

Az Isidor Biztonsági Központ szerint a Regdor nem végez különösebben sok műveletet a fertőzött PC-ken. Mindössze egy fájlt hoz létre, és néhány bejegyzést fűz hozzá a regisztrációs adatbázishoz. Így a manuális eltávolítása sem különösebben nehéz feladat. A problémát inkább az jelenti, hogy a trójai a háttérben tevékenykedik, így a felfedezése megfelelő vírusvédelem nélkül nehézségekbe ütközhet.

Amikor a Regdor trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%\mspmsnsv.dll

2. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"addr" = "[a fertőzött számítógép IP-címe]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"hide" = "[...]"

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"config" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"dele" = "[hexadecimális érték]"

4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"ssdt" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"start" = "[...]"

5. Megpróbálja átvenni az irányítást a fertőzött számítógép felett.

6. Betölti az mspmsnsv.dll állományát az svchost.exe segítségével.

7. Megpróbál kapcsolódni egy távoli kiszolgálóhoz a 443-as TCP porton keresztül.

8. Nyit egy hátsó kaput a támadók számára.

A hír megjelenését a biztonságportál támogatta.