Hálózati megosztásokon keresztül szaporodó féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. január 29.
Utolsó frissítés ideje: 2004. január 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 53.224 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– hozzáadja az Osa32=NTOSA32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/dfcsvc Registry kulcsot a következő bejegyzésekkel és értékekkel:
. DependOnGroup=0x0
. DependOnService=RpcSS
. DisplayName=Distributed File Controller
. Error Control=0x0
. ImagePath=NTOSA32.exe /dfcsvc
. ObjectName=LocalSystem
. Start=0x2
. Type=0x110
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcsban a következő értékeket rögzíti: Ram32Data, Ram32ID, Ram32Group
– felméri a hálózati erőforrásokat, majd megkísérel a távoli számítógépekre adminként becsatlakozni; amennyiben ez sikerrel jár, a féreg bemásolja a következő file-okat a távoli számítógépre:
//[távoli számítógép]/ADMIN$/SYSTEM32/NTOSA32.exe
//[távoli számítógép]/ADMIN$/SYSTEM32/NTGina.dll
– ha a fenti művelet sikeresen lezajlott, akkor hozzáadja a GinaDll=ntgina.dll bejegyzést a távoli számítógép rendszerleíró adatbázisának alábbi kulcsához:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
– ezen módosítás révén a féreg képessé válik minden sikeres felhasználói név és jelszó megszerzésére, ha valaki bejelentkezik a kiszolgáltatott rendszerbe (ezen adatokat egyébként a System könyvtárban levő NTKBH32.dll file-ban tárolja)
– megnyitja az 5190-es TCP portot és alkotójától érkező parancsokra vár
– ICQ-n keresztül is visszacsatlakozhat a hackerhez