W32.Netspree.Worm – ciklikusan terjedő féreg

A féreg tulajdonságai

Felfedezésének ideje: 2003. január 22.
Utolsó frissítés ideje: 2003. január 23.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: 70.656 byte, 61.440 byte, 48.448 byte, 35.840 byte, 1613 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Felépítése, működése

– a következő állományokból áll: Lcp_Netbios.dll, Psexec.bat, Psexec.exe, Psexecsvc.exe, Win32load.exe
– ezekből a Psexec.exe és a Psexecsvc.exe nem veszélyes
– az Lcp_netbios.dll egy NT service, amely magában tartalmazza a többi állományt és fel is másolja azokat a rendszerbe, majd elindítja a Psexec.bat-ot
– a Psexec.bat megszerzi a rendszer IP-címét, majd másik rendszereken felhasználóneveket/jelszavakat próbálgat
– a Psexec.exe révén felmásolja a Win32load.exe-t a távoli rendszerbe és futtatja is (csak akkor, ha talál megosztást)
– Win32load.exe felmásolja magát a System könyvtárba, majd futtatja a másolt file-t
– létrehozza a Windows SubSys ˝[aktuális futtatási útvonal]/WIN32LOAD.EXE˝ rundll32.dll,loadsubsys,loadsys,win32 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokban
– beállítja a restrictanonymous DWORD:0 értéket a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa Registry kulcsban
– aktív Internet-kapcsolatra vár, ha talál, akkor kapcsolódik a master.leet-gamer.net IRC-szerverhez a 6667-es porton keresztül, ott pedig a #lc_breed csatornához
– itt közzéteszi a megfertőzött számítógép információit (bárki számára, aki ott figyel): IP-cím, rendszer típusa, operációs rendszer, CPU-típus stb.
– az állomány képes file-ok fel/letöltését végrehajtani
– arra is képes rávenni a kiszolgáltatott számítógépet, hogy DoS támadást indítson
– letölti és futtatja az Lcp_netbios.dll állományt és a ciklus előről kezdődik