A rendszerben új adminisztrátort létrehozó féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 30.
Utolsó frissítés ideje: 2003. szeptember 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 183.808 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a System könyvtárba RunDLL32.exe, a C meghajtó gyökerébe Falckon.vxd néven
– hozzáadja a NAV=[System elérési útvonala]/RunDLL32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– felmásolja magát a System könyvtárba számos példányban, néhány példa: amor.bat, Anti-Blaster.exe, Anti-BlasterWorm.exe, britney.scr, chica-sex.scr, Drivers-Windows.exe, girlpic.pif, Hacker-Bible.pif, kamasutra.pif, MatrixReloaded.scr, Q832645.exe, sexual-positions.bat, shakira.scr, update.exe, virus-faq.pif, virus-list.pif
– létrehozhatja a C gyökerében a -.txt állományt
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– véletlenszerű neveken felmásolja magát a következő könyvtárakba, ha azokat megtalálja a rendszerben:
. [Program Files elérési útvonala]/KaZaA/My Shared Folder
. [Program Files elérési útvonala]/edonkey2000/incoming
. [Program Files elérési útvonala]/gnucleus/downloads
. [Program Files elérési útvonala]/icq/shared files
. [Program Files elérési útvonala]/kazaa lite/My Shared Folder
. [Program Files elérési útvonala]/limewire/shared
. [Program Files elérési útvonala]/morpheus/my shared folder
. [Program Files elérési útvonala]/Grokster/My Grokster
. [Program Files elérési útvonala]/WinMX/My Shared Folder
. [Program Files elérési útvonala]/Tesla/Files
. [Program Files elérési útvonala]/Overnet/Incoming
. [Program Files elérési útvonala]/XoloX/Downloads
. [Program Files elérési útvonala]/Rapigator/Share
. [Program Files elérési útvonala]/KMD/My Shared Folder
– néhány példa:
. Ad-aware .exe
. Adobe Acrobat Reader (32-bit) crack all versions.exe
. Biromsoft WebCam KeyGen.exe
. FireWorks 4 Full version.exe
. Kasersky Antivirus Full version.exe
. Kazaa Download Accelerator crack all versions.exe
. Matrix Movie .exe
. Microsoft Internet Exlorer Full version.exe
. Nero Burning ROM KeyGen.exe
. Norton Antivirus Cracked.exe
. XoloX Ultra KeyGen.exe
. ZoneAlarm .exe
– megkísérel minden e-mailcímre eljutni, amit az MSN kontaktlistájában megtalál; a tárgy, a törzs és a csatolmány változó tartalommal szerepelhet az e-mailben, de a csatolmány mindig .bat, .com, .exe, .scr vagy .pif kiterjesztésű lesz; a feladót gyakorta meghamisítja (spoof)
– levélben értesíti alkotóját; ennek jellemzői:
SMTP-szerver: smtp.prodigy.net.mx
MAIL FROM: ajh@prodigy.net.mx
FROM: Falckon@GEDZAC.net
To: infectados@virusmex.zzn.com
Tárgy: New Infected
Tartalom: a fertőzés dátuma és ideje, illetve az ellopott információk (operációs rendszer adatai, host név, IP-cím stb.)
– létrehoz egy GEDZAC nevű felhasználót, akinek jelszava is ez lesz, majd hozzáadja az adminisztrátor csoporthoz
– futtatja a Telnet.exe-t