Az Oxtic nevű trójai felismerése meglehetősen egyszerű, ugyanis teljesen meg tudja “bolondítani” a számítógépek működését.
Az Oxtic trójai a fertőzött számítógépeken elérhetetlenné teszi a Windows Feladatkezelőjét, és a regisztrációs adatbázis szerkesztőjét. Ezt követően különböző időközönként meglehetősen feltűnő műveleteket hajt végre. Így például hangokat generál és szólaltat meg. Felcseréli az egér gombjaihoz tartozó funkciókat, és több példányban elindítja a Windows Jegyzettömbjét. A trójai a számítógép esetenkénti leállítására is képes.
Amikor az Oxtic trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába SVCHOST.exe néven.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open
HKEY_CLASSES_ROOT\exefile\shell\open
kulcsához hozzáadja a
“command” = “%Windir%\SVCHOST.EXE %1 %*” értéket.
3. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System\
kulcsához tartozó
“DisableRegistryTools” = “1”
“DisableTaskMgr” = “1”
értékeket.
Ezzel elérhetetlenné teszi a Feladatkezelőt és a regisztrációs adatbázis szerkesztőjét.
4. Esetenként létrehozza a következő fájlt:
%WinDir%\\\2d2.hik
5. Különböző időközönként a következő műveleteket hajtja végre:
– felcseréli az egér gombjaihoz tarozó funkciókat
– leállítja a számítógépet
– különböző hangokat generál
– több példányban elindítja a Jegyzettömböt.