Az USA elnöke ellen kampányoló féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. május 14.
Utolsó frissítés ideje: 2004. május 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 11.776 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– leellenőrzi, hogy a számítógép korábban áldozatául esett-e már, ha igen, elkerüli a felülfertőzést
– hozzáadja a Vote For Kerry=KillBush.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– a 9604-es TCP porton FTP szervert indít; ennek révén fogja elterjeszteni magát
– a 420-as TCP porton hallgatózik a külvilágtól érkező információkért; amennyiben megfelelő paraméterezést kap, elküldi a KillBush.exe állományt a célszámítógépnek
– tartalmaz olyan kódokat is, amik révén további állományokat tölthet és futtathat le; ezen file-ok neve hat, véletlenszerűen választott karakterből áll, EXE kiterjesztéssel
– a féreg véletlenszerűen IP-címeket hoz létre
– elsőként a DCOM RPC sebezhetőséggel igyekszik behatolni a célrendszerbe a 135-ös TCP porton át; ha ez sikerrel jár, akkor létrehoz egy rejtett shell process-t a távoli PC-n, amelyik egy véletletszerűen választott TCP porton hallgatózik, lehetővé téve alkotója számára, hogy távolról irányíthassa a megfertőzött számítógépet
– ugyanezt a shellt használja fel, hogy visszacsatlakozzon az eredeti komputer FTP szerveréhez, s letöltse onnan a féreg másolatát (amit ezek után le is futtat)
– a féreg megpróbálkozik az LSASS sérülékenység kiaknázásával is; ekkor szintén az FTP szerver révén tudja áttölteni magát a másik PC-re