A rendszert képes teljesen kiszolgáltatni a microsoftos e-mailcímről érkező féreg

A fertőzött e-mail jellemzői

Feladó: Microsoft [security@microsoft.com] – ez természetesen meg van hamisítva
Tárgy: Use this patch immediately !
Tartalom: Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Csatolmány: patch.exe

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 20.
Utolsó frissítés ideje: 2003. augusztus 22.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 34.304 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba dllreg.exe; a System könyvtárba load32.exe és vxdmgr32.exe, a Startup könyvtárba pedig Rundllw.exe néven
– létrehozza a Windows könyvtárban a windrv.exe (8.192 byte) file-t, ami egy trójai program; ez lehetővé teszi a féreg készítőjének a kiszolgáltatott rendszer feletti uralom átvételét
– ugyanitt létrehozza a winload.log állományt, ahol a megszerzett e-mailcímeket tárolja
– hozzáadja a load32 = [Windows elérési útvonala]/load32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a win.ini file-t (Windows 95/98/Me alatt):
[windows]
run=[Windows elérési útvonala]/dllreg.exe
– módosítja a system.ini file-t (Windows 95/98/Me alatt):
[boot]
shell=explorer.exe [System elérési útvonala]/vxdmgr32.exe
– a következő kiterjesztéssel bíró állományokban e-mail címeket keres: .htm, .wab, .html, .dbx, .tbb, .abd
– saját SMTP-motorja révén továbbítja magát
– NTFS partíciókon megfertőzi az összes EXE állományt
– minden EXE állományt megkísérel megfertőzni a C meghajtótól a Z-ig, habár az elrontott kód miatt csak ezen meghajtók gyökerében képes kifejteni ˝áldásos˝ tevékenységét
– a 10000-es TCP porton várakozik távoli parancsokra, melyek a következők lehetnek:
. mkd: könyvtár létrehozása
. rmd: könyvtár törlése
. port: a meghatározott port megváltoztatása
– az 1001-es TCP porton figyel olyan távoli parancsokra, mint a következők:
. !exec: program futtatása
. !cdopen: CD-ROM tálcájának kinyitása
. !sndplay: hang lejátszása
– a 2283-as TCP porton figyel további parancsokra, melyek a férget továbbít(hat)ják egy másik szerverre
– megkísérli az összes, vágólapra másolt információt a Windows könyvtárban levő Rundllx.sys állományba lementeni
– KWM kiterjesztésű állományok után kutat, és ha talál, akkor az abban levő összes adatot átmenti a Windows mappában levő Rundlln.sys file-ba
– létrehozza a Windows-ban a Guid32.dll állományt, amely az ugyanitt levő Vxdload.log file-ba menti a leütött billentyűket