A rendszernek egyszerre ártó és jót tevő féreg

A féreg paraméterei

Felfedezésének ideje: 2005. február 3.
Utolsó frissítés ideje: 2005. február 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 43.008 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System mappába rund1132.exe néven
– létrehozza a dopebot 0.2 by dope mutexet, hogy csak egyszer töltődhessen be a memóriába
– hozzáadja a rund1132.exe=[System elérési útvonala]/rund1132.exe bejegyzést az alábbi alkulcsokhoz a Registry-ben:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
– módosítja az EnableDCOM bejegyzést ˝Y˝-ra a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole kulcsban, ezzel állítva alacsonyabbra a Windows biztonsági szintjét
– hasonló célból végez változtatást a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa Registry kulcsban: restrictanonymous=dword:00000000; és a HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/WindowsUpdate kulcsban: DoNotAllowXPSP2=0x00000001
– az SP2-vel ellátott Windows XP-k biztonsági szintjét csökkenti a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Security Center Registry kulcsban levő értékek következő módosításával:
. AntiVirusDisableNotify=0x00000001
. FirewallOverride=0x00000001
. AntiVirusOverride=0x00000001
. UpdatesDisableNotify=0x00000001
. FirewallDisableNotify=0x00000001
– letiltja az operációs rendszer automatikus frissítését a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/WindowsUpdate/Auto Update kulcs egyik bejegyzésének módosításával (AUOptions=0x00000001); és lekapcsolja a tűzfalat az EnableFirewall=0x00000000-ra való állításával a következő Registry kulcsokban:
. HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/WindowsFirewall/DomainProfile
. HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/WindowsFirewall/StandardProfile
– végül a Start=0x00000004 bejegyzés felvitelével a következő Registry kulcsokban csökkenti tovább az operációs rendszer biztonsági szintjét:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wuauserv
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wscsvc
– megpróbálkozik a következő hálózati megosztások törlésével: C$ – Z$, Admin$, IPC$, Print$
– letölti és futtatja a Microsoft által kiadott egyik biztonsági javítást (MS04-011)
– hátsó kaput nyit a rendszeren (egy IRC szerverhez való csatlakozással), aminek révén alkotójától érkező parancsokra (process-ek listázása és kilüvése, billentyűleütések figyelése, file-ok megnyitása, futtatása és törlése, DoS-támadás indítása stb.) várakozik