Védtelen PC-k a Randex féreg nyomában

A féreg paraméterei

Felfedezésének ideje: 2005. március 15.
Utolsó frissítés ideje: 2005. március 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 38.912 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System könyvtárban, hmisvc32.exe néven
– hozzáadja a HMI PowerSystem=hmisvc32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsokhoz
– létrehoz egy 8875 nevű mutexet, hogy csak egyszer töltődhessen be a memóriába
– véletlenszerűen generált IP-címekhez csatlakozik, s az ezeken található számítógépeken adminisztrátori jogosultság megszerzésére törekszik különböző, gyenge jelszavak próbálgatásával; ha sikerrel jár, felmásolja magát a távoli számítógépre hmisvc32.exe néven, és le is futtatja az állományt
– hátsó kaput nyit a rendszeren, ezzel téve lehetővé, hogy alkotója jogosulatlan hozzáférést szerezhessen a PC-hez; ehhez a 9000-es TCP porton keresztül csatlakozik a 220.82.224.11 domain alatt található IRC-szerverhez
– alkotójától érkező parancsokra várakozik

A féreg trójai tulajdonságai

– információk (mint CPU sebesség, memóriaméret stb.) megjelenítése
– file-ok letöltése és futtatása, a féreg frissítése
– process-ek leállítása
– portscan a helyi hálózaton, sebezhető számítógépek utáni kutatás céljából
– meghatározható IP-címek pingelése stb.