Troj/Cidra-D ist ein Backdoor-Proxy-Trojaner, der einem remoten Eindringling die Möglichkeit gibt, TCP-Verkehr über den befallenen Computer zu leiten.
Der Trojaner läuft normalerweise als Datei namens usb_d.exe. Damit er automatisch ausgeführt wird, sobald sich ein Benutzer an dem Computer anmeldet, fügt Troj/Cidra-D einen Registrierungseintrag an folgender Stelle hinzu:
Der Trojaner öffnet daraufhin einen zufälligen Port und versucht in regelmäßigen Abständen, sich mit einer remoten Website zu verbinden, um sich dort zu registrieren.
Der Trojaner kann außerdem eine Datei von einer remoten Website herunterladen und ausführen.
Troj/Cidra-D wurde scheinbar massenhaft versendet. Die E-Mail hat folgende Merkmale:
Die Betreffzeile lautet "This your photo?" und kann mit nicht lateinischen Zeichen durchsetzt sein, z. B.:
+This your photo?
This+ your photo?
This your photo?
This y_our photo?
This your pho+to^?
This yo_ur -photo?
Th_is your photo?
This you-r _photo?
Thi^s your photo?
Thi-s +your photo?
Der Text der E-Mail lautet "Is this your photo? I cant belive it made it onto the
internet!"
Die angehängte Datei ist ein ZIP-Archiv namens p_usb.zip.