Számítógépes játékok CD-kulcsait (is) megszerző féregvírus

A féreg tulajdonságai

Felfedezésének ideje: 2003. április 4.
Utolsó frissítés ideje: 2003. április 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 100.352 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Svchosl.exe és Winhlpp32.exe néven
– hozzáadja a Config Loader=svchosl.exe string értéket az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– létrehozza az alábbi Registry kulcsokat:
HKEY_LOCAL_MACHINE/Software/MSSQLServer/Client/SuperSocketNetLib
HKEY_LOCAL_MACHINE/Software/Microsoft/Client/SuperSocketNetLib
– a fenti kulcsokhoz hozzáadja a ProtocolOrder=tcp string értéket
– létrehozza az alábbi Registry kulcsokat:
HKEY_LOCAL_MACHINE/Software/MSSQLServer/Client/ConnectTo
HKEY_LOCAL_MACHINE/Software/Microsoft/MSSQLServer/Client/ConnectTo
– a fenti kulcsokhoz hozzáadja a DSQUERY=DBNETLIB string értéket
– felmásolja a 122.880 byte-nyi hosszú Psexec.exe állományt a System könyvtárba
– magát service-ként regisztrálja, vagy PSINFSVC vagy PsInfo Servic néven
– egy véletlenszerűen választott TCP portot megnyit a hackerrel való kommunikációra
– saját IRC kliense révén egy előre meghatározott csatornához kapcsolódik, majd alkotójától érkező parancsokra vár
– megpróbál bejutni IPC$ megosztásokba, triviális felhasználónév/jelszó kombinációk használatával

A féreg trójai komponense kínálta lehetőségek

– a féreg telepítésének menedzselése
– a feltelepített féreg dinamikus frissítése
– file-ok letöltése és futtatása
– rendszerinformációk megszerzése
– játékok CD-kulcsainak megszerzése
– IRC-felhasználóknak való továbbítás
– flood támadások indítása
– a CD-ROM tálcájának kinyitása, becsukása stb.