Webcímeket elérhetetlenné tevő trójai program terjed

A trójai program paraméterei

Felfedezésének ideje: 2004. augusztus 16.
Utolsó frissítés ideje: 2004. augusztus 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 139.776, 4.096 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a System mappában a következő állományokat:
. dx32hhlp.exe
. dx32hhec.sys
– létrehozza a következő service-t (így minden alkalommal lefut, amikor az operációs rendszer feláll): dx32hhec
– ezt aztán el is rejti a következő API-k igénybevételével:
. ZwQuerySystemInformation
. ZwQueryDirectoryFile
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer Registry kulcshoz az alábbi bejegyzéseket:
. mutexadmin=1
. mutexname=[véletlen karakterek]
. vers=0x0001003d
– megkeresi a Startup könyvtár helyét a Registry-ben, és ennek tudatában bemásolja oda magát dx32hhlp.exe néven
– megkísérel eMule szerverekhez csatlakozni a következő IP-címek és portszámok felhasználásával:
62.241.53.2:4242
211.233.41.235:4661
81.23.250.167:4242
193.19.227.24:4661
66.98.192.99:3306
207.44.222.47:4661
213.158.119.104:4661
207.44.206.27:4661
62.241.53.4:4242
216.127.94.107:4661
67.15.18.45:3306
62.241.53.15:4242
64.246.54.12:3306
62.241.53.16:4242
211.214.161.107:4661
67.15.18.57:3306
66.98.144.100:4242
69.50.187.210:4661
66.111.43.80:4242
212.199.125.36:8080
66.90.68.2:6565
62.241.53.17:4242
69.50.228.50:4646
81.23.250.169:4242
69.57.132.8:4661
64.246.18.98:4661
218.78.211.62:4661
207.44.142.33:4242
64.246.16.11:4661
205.209.176.220:4661
80.64.179.46:4242
65.75.161.70:4661
– lehetővé teszi, hogy a rendszer a továbbiakban e-mail relay-ként viselkedjék egy véletlenszerűen választott TCP porton át
– egy másik, szintén véletlenszerűen választott TCP porton keresztül HTTP proxy-t futtat; ezenfelül képes még uninstallálni és frissíteni magát, illetve file-okat letölteni
– hozzáfűzi a következő bejegyzéseket a System könyvtárban található /drivers/etc/hosts állományhoz, megakadályozva az ezekhez való hozzáférést:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com