A Windows RPC-hibáját kihasználó, DoS-támadást indító féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 16.
Utolsó frissítés ideje: 2003. szeptember 17.
Veszélyeztetett rendszerek: Windows NT/2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 204.800 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba SERVICE5.exe néven
– hozzáadja a Config Loader=service5.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– megnyit egy véletlenszerűen megválaszott TCP-portot a hackerrel való kommunikálásra
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre
– alkotójától érkező parancsokra vár, melyek a következők lehetnek:
. a féreg telepítésének menedzselése
. a feltelepített féreg dinamikus frissítése
. file-ok letöltése és futtatása
. kiszolgáltatott rendszer információinak megszerzése
. a féreg más IRC-használók számára való továbbküldése
. account hozzáadása
– adatot küld a 135-ös TCP porton, és kihasználja a Windows RPC-sérülékenységét
– ezek után megkísérel behatolni a távoli gépeken található megosztásokba, ehhez számos felhasználóné/jelszó kombinációt próbálgat ki
– ha sikerrel járt a behatolás, a féreg felmásolja magát a távoli számítógépre és le is futtatja magát ott
– megkísérli megszerezni az áldozatul esett rendszeren feltelepített bizonyos játékok kulcsait
– leállítja a behatolásvédelmi szoftverek futó process-eit
– leállítja az esetlegesen feltelepült más férgek futó process-eit: mspatch.exe, penis32.exe, msblast.exe, scvhosl.exe, winhlpp32.exe, tftpd.exe, dllhost.exe, winppr32.exe
– DoS-támadást kísérel meg végrehajtani