Az Acrobat neve mögé búvó féregvírus

A féreg paraméterei

Felfedezésének ideje: 2005. április 5.
Utolsó frissítés ideje: 2005. április 6.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 104.448 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System mappába acrotray.exe néven
– hozzáadja az “Adobe Acrobat Distiller Application” = “acrotray.exe” bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– hozzáadhatja az alábbi sort a hosts állományhoz, hogy megakadályozza a hozzáférést a Microsoft webiste-jához: 127.0.0.1 www.microsoft.com
– megkísérel véletlenszerűen generált IP-címekre bejelentkezni gyenge jelszavak végigpróbálgatásával; ha sikerrel jár, természetesen máris felmásolja és lefuttatja magát a távoli gépen
– hátsó kaput nyit a fertőzött rendszeren, így téve lehetővé alkotójának, hogy irányítsa a számítógépet; ehhez a 40404-es TCP porton keresztül csatlakozik a tunit.p2p.com.hk domainen található IRC-szerverhez
– alkotójától érkező parancsokra vár, amik a következők lehetnek:
. portscan sebezhető hálózati PC-k felkutatására
. CD-kulcsok ellopása
. rendszerinformációk megjelenítése
. DoS-támadások kezdeményezése
. file-ok letöltése és futtatása
. SOCKS4 proxy szerver indítása