Számítógépes játékok CD-kulcsait lopkodó féreg

A trójai paraméterei

Felfedezésének ideje: 2004. október 19.
Utolsó frissítés ideje: 2004. október 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 124.928 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System könyvtárban sysmsvc.exe néven
– hozzáadja a MsWindows SysDate=sysmsvc.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE
. HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa
– megkísérel hátsó kaput nyitni a rendszeren a fear.godofthe.net IRC-csatornához a 8080-as TCP porton való csatlakozással
– olyan számítógépek után kutat, ahova a következő sebezhetőségek valamelyike révén be tud törni:
. DCOM RPC Interface Buffer Overrun
. Local Security Authority Service Remote Buffer Overflow
. Workstation Service Remote Buffer Overflow
. SSL Library Denial of Service
– játékokhoz tartozó jelszavakat és CD-kulcsokat lophat el a rendszerből

A trójai kínálta lehetőségek

– file-ok letöltése és futtatása
– process-ek listázása, megállítása és elindítása
– DoS-támadások kezdeményezése
– rendszerinformációk ellopása és alkotójának való továbbítása
– port átirányítása
– socks4 proxy indítása
– saját SMPT-motorja révén e-mailek küldése
stb.