Titkaink után kutakodnak a legújabb Spybot féreg variánsok

A féreg paraméterei

Felfedezésének ideje: 2004. szeptember 13.
Utolsó frissítés ideje: 2004. szeptember 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a System könyvtárban önmaga másolatát HPPrint.exe (DNB változat) vagy TimeSRV.exe (DNC változat) néven
– a DNB változat hozzáadja a Win USB 2.0 USB Driver=HPPrint.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
– a DNB változat hozzáadja a Windows Time Server=TimeSRV.exe bejegyzést a következő kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE
– a DNB változat a következő kulcsokat rögzíti a rendszerleíró adatbázisban:
. HKEY_LOCAL_MACHINE/System/CurrentControlSe/ENUM/ROOT/LEGACY_KINGSTON
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Kingston
– szintén a DNB változat megszünteti a következő helyi megosztásokat: $ipc, $admin, $c, $d
– a 6667-es TCP porton át a latina.a.la IRC-csatornához csatlakozik, ezzel hátsó kaput nyitva a rendszeren; ezekután a féreg a következő parancsok végrehajtására lesz képes:
– file-ok letöltése és futtatása
– trójai programo(ka)t futtató hálózati szerverek keresése
– process-ek listázása, megállítása, elindítása
– DoS-támadás kezdeményezése
– rendszerinformációk eltulajdonítása és a hackernek való elküldése
– portátirányítás stb.
– számítógépek után pásztázik, melyeken megpróbálja kihasználni a következő sebezhetőségeket:
. Local Security Authority Service Remote Buffer Overflow vulnerability
. UPnP NOTIFY Buffer Overflow vulnerability
– a DNC változat a fentieken felül még a következő sérülékenységek kiaknázására is képes:
. DCOM RPC vulnerability
. Microsoft SQL Server 2000 or MSDE 2000 audit vulnerability
. WebDav vulnerability
. Workstation Service Buffer Overrun vulnerability
– számos számítógépes játék jelszavait és CD-kulcsait is ellophatja, néhány példa:
. Black and White
. Battlefield 1942
. Counter-Strike
. Command and Conquer
. Call of Duty