Trójai képességekkel is rendelkező féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. június 2.
Védekezés elkészültének ideje: 2003. június 3.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

A kártevő trójai komponense akkor aktivizálódik, ha az ICQ kínai változatát megtalálja a rendszeren. Ebben az esetben az Msread.dt állományban tárolja a rendszerből megszerzett jelszavakat, mely file-t aztán elküldi alkotójának.

A trójai résztől függetlenül működik a BenfGame féreg modulja:

– hálózati megosztásokat hoz létre
– felmásolja magát a hálózaton található megosztott könytárakba, véletlenszerűen létrehozott neveken
– létrehozza a meghajtó gyökerében a Filedebug file-t, amely tartalmazza a féreg által korábban kreált állományneveket
– a korábban létrehozott állományok közül néhányat (véletlenszerűen választ) processként regisztrál
– az alábbi Registry módosításokat végzi el:
. HKEY_CLASSES_ROOT/txtfile/shell/open/command – felülírja a notepad.exe-re mutató bejegyzést a féreg egyik állományára mutató bejegyzéssel
. HKEY_CLASSES_ROOT/chm.file/shell/open/command – felülírja a hh.exe-re mutató bejegyzést a féreg egyik állományára mutató bejegyzéssel
. HKEY_CLASSES_ROOT/scrfile/shell/open/command – megváltoztatja a kulcs értékét a féreg egyik állományára mutató bejegyzéssel: [file-név] %1
. HKEY_CLASSES_ROOT/regfile/shell/open/command – felülírja a regedit.exe-re mutató bejegyzést a féreg egyik állományára mutató bejegyzéssel
. HKEY_CLASSES_ROOT/inifile/shell/open/command – felülírja a kulcsban található összes bejegyzést a féreg egyik állományára mutató bejegyzéssel
. HKEY_CLASSES_ROOT/exefile/shell/open/command – megváltoztatja a kulcs értékét a féreg egyik állományára mutató bejegyzéssel: [file-név] %1
– egy véletlenszerűen választott nevű értéket hozzáad a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, mely a féregre mutat
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/win70/workfile kulcsot a Registry-hez egy véletlenszerűen előállított értékkel
– megkísérli leállítani a következő NT processeket:
. kav9x.exe
. kavsvc9x.exe
. kavsvcui.exe
. kav32.exe
. smenu.exe
. ravmon.exe
. passwordguard.exe
. vpc32.exe
. watcher.exe
– létrehozza az Autorun.inf állományt az összes meghajtó gyökerében, kivéve a C-t
– a fenti állomány a következő tartalommal rendelkezik:
[autorun]
OPEN= [a féreg által véletlenszerűen létrehozott file-név]