CD-kulcsokat lopkodó féreg

A féreg paraméterei

Felfedezésének ideje: 2005. január 14.
Utolsó frissítés ideje: 2005. január 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 45.082 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System könyvtárban, msdocument.exe néven
– hozzáadja a System Document Application=msdocument.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices, a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsokhoz
– véletlenszerűen generált IP-címekhez csatlakozik, s az ezeken található számítógépeken adminisztrátori jogosultság megszerzésére törekszik különböző, gyenge jelszavak próbálgatásával; ha sikerrel jár, felmásolja magát a távoli számítógépre msoffice.exe néven, és le is futtatja az állományt
– a 113-as TCP porton azonosítószervert indít, mely adatokat gyűjt azon PC-kről, melyek hozzáférnek a hátsó kapun keresztül a megtámadott számítógéphez
– hátsó kaput nyit a rendszeren, ezzel téve lehetővé, hogy alkotója jogosulatlan hozzáférést szerezhessen a PC-hez; ehhez a 24300-as TCP porton keresztül csatlakozik az nt.chiriroza.net domain alatt található IRC-szerverhez
– alkotójától érkező parancsokra várakozik

A féreg trójai tulajdonságai

– információk (mint CPU sebesség, memóriaméret stb.) megjelenítése
– ping, SYN, UDP DoS-támadások kezdeményezése
– file-ok letöltése és futtatása, a féreg frissítése
– socks4 proxy szerver indítása
– TCP forgalom átirányítása
– helyi megosztások törlése
– process-ek leállítása
– portscan a helyi hálózaton, sebezhető számítógépek utáni kutatás céljából
– e-mail küldése
– számítógépes játék CD-kulcsainak gyűjtése és a féreg készítőjének elküldése