Hálózati megosztásokon szaporodó féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. június 23.
Utolsó frissítés ideje: 2004. június 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 57.344 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja magát a System könyvtárba Rpcmon.exe néven
– IP-címeket generál véletlenszerű módon
– ezekre a címekre Administratorként megpróbál bejelentkezni, gyenge jelszavak próbálgatásával
– ha sikerrel jár, felmásolja magát a távoli számítógépre
– lefuttatja magát a fertőzötté vált rendszeren
– hozzáadja a Sysmon=rpcmon.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– létrehozza a Temp mappában a secure.bat állományt, melyet le is futtat, így törli a C$, D$, IPC$ és ADMIN$ megosztásokat
– elindít egy billentyűzet-leütést figyelő alkalmazást, mely a System könyvtárban levő Ntfsvi.txt állományba menti az adatokat
– felcsatlakozik egy IRC-szerverre, ahonnan alkotójától érkező parancsokra vár

A féreg trójai képességei

– DoS-támadások indítása
– számítógépek átnézése és megfertőzése
– file-ok Internetről való letöltése és futtatása
– rendszerinformációk megszerzése
– a Windows XP termékazonosítójának és számítógépes játékok CD-kulcsainak ellopása stb.