Az egyik legnagyobb bothálózat férge újra terjed

A féreg paraméterei

Felfedezésének ideje: 2005. február 15.
Utolsó frissítés ideje: 2005. február 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 102.912 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System mappába MDNS.exe néven, rejtett attributummal
– hozzáadja az MDN=MDNS.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– megkísérel hátsó kaput nyitni a rendszeren a 8126-os TCP porton keresztül a hey.pj34r.us hosthoz való kapcsolódással
– ha sikerrel jár, alkotójától érkező parancsokra (file-ok letöltése és futtatása, process-ek és végrehajtási szálak listázása, leállítása és elindítása, SYN és UDP DoS-támadások kezdeményezése, leütött billentyűk figyelése stb.) várakozik
– átvizsgálhatja a számítógépet a következő biztonsági hibák kihasználása végett:
. Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Microsoft Windows Local Security Authority Service Remote Buffer Overflow
. Workstation Service Buffer Overrun
. UPnP NOTIFY Buffer Overflow
. a Microsoft SQL Server 2000 vagy MSDE 2000 auditjában levő sebezhetőségek
. DameWare Mini Remote Control Server Pre-Authentication Buffer Overflow
– a Beagle, a Mydoom,a Backdoor.NetDevil és a Backdoor.Optix variánsok által korábban nyitott hátsó kapuk révén igyekszik más, fertőzött rendszerekre bejutni
– megkísérel adatokat lopni bizonyos, a rendszerre telepített játékokról
– megkísérel véletlenszerűen generált IP-címeken át terjedni, ehhez egy előre elkészített, gyenge jelszavakat tartalmazó listát alkalmaz