http://securityresponse.symantec.com...ionet.318.html
oder
Valentin Kolesnikov von Kasperky Labs hatb den Code als
Backdoor.Bionet.318 identifiziert. Wird FIX_NIMDA.exe ausgeführt,
startet er zwei neue Prozesse, win32cfg.exe und keyboard.exe.
Zumindest unter Win2k wird eine Datei als
C:\WINNT\System32\win32cfg.exe abgelegt. Weiterhin werden die Files
C:\WINNT\System32\keyeye.ini, C:\WINNT\System32\keyboards.dll und
C:\WINNT\System32\keyboards.exe angelegt.
C:\WINNT\System32\keyeye.ini ist das Config File des Tastatur-Spions.
Die Daten selbst werden in C:\WINNT\keylog.txt gespeichert. Der
Trojaner verschafft sich Zugang zu allen Laufwerken von C: bis Z: und
legt seine Konfigurations-Parameter in der Registry unter
HKCU\Software\Cyberium Technologies\BioNet 3 ab und verändert
verschiedene andere Einträge.
AV Hersteller haben einige Informationen über den BioNet Trojaner,
diese sind aber widersprüchlich, auch bzgl. obiger Analyse. Eine
solche abweichende Analyse gibt es bspw. unter mischel.dhs.org.