E-mail nélkül terjed a Bobax féreg legújabb variánsa is

A féreg paraméterei

Felfedezésének ideje: 2004. május 19.
Utolsó frissítés ideje: 2004. május 19.
Veszélyeztetett rendszerek: Windows XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/2k/2k3, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 19.456 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a 00:24:03:54A9D azonosítójú mutexet, megakadályozandó, hogy egynél többször kerülhessen betöltésre a memóriába
– EXE kiterjesztéssel, véletlenszerű karakterekből összeállított néven bemásolja magát a System könyvtárba
– hozzáad egy, a fenti file-ra mutató bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérel minden file-t letörölni a Temp mappában, mely ~ (tilde) karakterrel kezdődik
– létrehoz egy .tmp kiterjesztéssel bíró DLL állományt a Windows Temp mappájában; ez tartalmazza a féreg e-mailező funkcióját
– beleépíti a fenti DLL állományt az Explorer.exe file-ba (ennek eredményeként összeomolhat a böngésző), majd saját process-ét leállítja
– különböző file-okat tölt le több weboldalról, hogy megbecsülhesse a PC Internet-kapcsolatának adatátviteli sebességét
– felveszi a kapcsolatot egy távoi webszerverrel, egy egyedi azonosítókódot küld el, hogy tájékoztassa a fertőzésről; az erre érkező reakció a féreg különböző funkciónak aktiválását okozza:
. spam küldése
. rendszerinformációk elküldése a féreg írójának
. IP-címek szkennelésének elindítása, leállítása
. futtatható állományok letöltése és elindítása
– véletlenszerűen generált IP-címeket néz át, s megkísérel az 5000-es TCP porton keresztül becsatlakozni
– amennyiben sikerrel jár, megpróbálja kihasználni a (nem patch-elt) Windows-okban levő LSASS sérülékenységet a 445-ös TCP porton át; ha ez is sikerül, lefuttatja saját magát a távoli számítógépen (ennek során egyébként a Sasserhez hasonlóan újraindulhat a számítógép)
– megnyit számos, véletlenszerűen kiválasztott portot és bejövő kapcsolatokra vár
– saját SMTP-szerverét is elindítja, amely révén így a megfertőzött számítógépek spam relay-kén használhatók