Játékok CD-kulcsait lopkodó, Windows-hibákon (is) terjedő féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 27.
Utolsó frissítés ideje: 2004. augusztus 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3/CE
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba mvsc.exe néven
– létrehozza a ˝Microsoft Update˝=˝mvsc.exe˝ bejegyzést az alábbi Registry kulcsokban:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole/EnableDCOM kulcs egyik értékét módosítja a következőképp: ˝EnableDCOM˝ = ˝N˝
– módosítja a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa kulcs ˝restrictanonymous˝ értékét is, mégpedig ˝1˝-re
– a helyi hálózat más számítógépei után kutat, megkísérelve a megosztott erőforrásokon keresztül csatlakozni hozzájuk, amihez egy előre meghatározott felhasználónév/jelszó kombináció-sorozatot is végigpróbálgat
– amennyiben sikerrel jár, felmásolja magát a távoli számítógépre
– a 6667-es TCP porton át egy IRC-szerverhez csatlakozik, s ott parancsokra vár, melyek a következők lehetnek:
. file-ok letöltése és futtatása
. backdoor trójait futtató hálózati szerver keresése
. process-ek leállítása, elindítása, kilistázása
. DoS-támadások kezdeményezése
. rendszerinformációk eltulajdonítása és a támadónak való elküldése
. billentyűzet-leütések figyelése
. hátsó kapu nyitása
. file-rendszer ellenőrzése (állományok listázása, létrehozása, törlése)
. port átirányítás meghatározása
. DNS-szerver elárasztása
– létrehozza a C meghajtó gyökerében a debug.txt állományt, ami információt tartalmaz arról az IRC-szerverről, ahova a féreg csatlakozott
– a következő hat biztonsági rés kiaknázásával is igyekszik terjedni:
. DCOM RPC sebezhetőség
. Microsoft Windows Local Security Authority Service Remote Buffer Overflow sérülékenység
. Microsoft SQL Server 2000 vagy MSDE 2000 sebezhetőség
. WebDav sérülékenység
. UPnP NOTIFY Buffer Overflow sérülékenység
. Workstation Service Buffer Overrun sebezhetőség
– különböző játékok CD-kulcsait is igyekszik megszerezni, ha talál olyat a rendszerre feltelepítve, amire alkotója kíváncsi