W32.Kwbot.D.Worm – trójai program és féregvírus egy kártevőben

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 17.
Utolsó frissítés ideje: 2003. február 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 102.200 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Winsys.exe néven, rejtett attributummal
– hozzáadja a Winsys Winsys.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
– létrehozza a krypton nevű alkulcsot a HKEY_Local_Machine/Software Registry kulcsban
– létrehozza a Windows könyvtárban a UserTemp nevű mappát, és ide különböző figyelemfelkeltő neveken bemásolja magát; néhány példa:
Battlefield1942_bloodpatch.exe
NBA2003_crack.exe
UT2003_keygen.exe
Age of Empires 2 crack.exe
MediaPlayer Update.exe
iMesh 3.7b (beta).exe
KaZaA Speedup 3.6.exe
Download Accelerator Plus 6.1.exe
Network Cable e ADSL Speed 2.0.5.exe
Guitar Chords Library 5.5.exe
– hozzáadja a Dir? 012345:C:/Windows/UserTemp bejegyzést a következő Registry kulcsokhoz:
HKEY_Current_User/Software/Kazaa/LocalContent
HKEY_Current_User/Software/iMesh/Client/LocalContent
– a fenti bejegyzésben a kerdőjel egy, a féreg által választott számot jelöl
– véletlenszerűen TCP/UDP portokat nyit meg, melyeken keresztül kapcsolatot létesít alkotójával
– saját IRC-klienst tartalmaz, amellyel egy IRC-csatornához képes csatlakozni, ezen keresztül pedig a támadó parancsokat küldhet a trójai tulajdonságokkal is bíró féregnek