E-mailes közvetítés nélkül szaporodó féreg

A féreg paraméterei

Felfedezésének ideje: 2004. november 9.
Utolsó frissítés ideje: 2004. november 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 14.336 byte (exe), 57.344 byte (dll)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi az alábbi Registry kulcs értékét, ha az be van állítva, kilép, mindenféle további működés nélkül;
HKEY_LOCAL_MACHINE/Software/Cerberus/1.1/dontInstall
– felmásolja magát a System mappába hotplug.exe névvel
– létrehozza a Hotplug Devices Manager nevű service-t, melyet a fenti állományhoz társít
– hozzáadja a DependOnService=HotPlug bejegyzést a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/PlugPlay Registry kulcshoz, így egy új hardvereszköz hozzáadásánál a Microsoft-féle Plug n Play szolgáltatás a féreg előbb leírt service-ától válik függővé
– minden olyan futó process-be, melynek a nevében megtalálható az lsass sztring, rögzíti az ntadint.dll file-t, melynek révén hátsó ajtót nyit a fertőzött rendszeren, illetve ez teszi lehetővé hálózaton való terjedését is
– rögtön azután, hogy a DLL állomány lefutott, számos API-t megváltoztat, hogy elrejtse a rendszerben saját jelenlétét; néhány példa:
. FreeLibrary
. CreateProcessAsUserA
. CreateProcessAsUserW
. FindFirstFileExW
. FindNextFileW
. RegCloseKey stb.
– az érintett API-k meghívása ezt követően azzal jár, hogy bármelyik process-t, amelyik hozzájuk fordul, megfertőzi önmagával
– a C meghajtó gyökerében eltárolja a felhasználó által leütött billentyűket (irdos.sys)
– hátsó kaput nyit a rendszeren a következő pipe létrehozásával: cb_win_nt_proc_rpc_[aktuális process azonosító]
– ha ezen keresztül becsatlakozott a támadó, számos dolgot megtehet a rendszerben (rendszerinformációk megtekintése, felhasználói jelszavak megváltoztatása stb.)
– a net view /domain parancs eredményét felhasználva minden, a fertőzött gazdagép által ismert domaint felmér, hogy azokhoz is megkísérelhessen csatlakozni
– amennyiben sikerrel jár, a következő állományok felmásolásával próbálkozik meg:
. [System elérési útvonala]/ntadint.dll
. [System elérési útvonala]/hotplug.exe
. D:/hotplug.exe
. D:/ntadint.dll
– létrehozza a távoli számítógépen a következő service-okat, melyek a következő rendszerinduláskor már automatikusan elindulnak:
. Hotplug Devices Manager
. Microsoft Windows Hotplug Service