Vírusfertőzés fenyegeti a nem patch-elt rendszereket

A féreg paraméterei

Felfedezésének ideje: 2005. február 15.
Utolsó frissítés ideje: 2005. február 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehoz egy állományt (W32.Spybot.Worm) a rendszeren, és azt le is futtatja
– felmásolja magát a C meghajtón levő System könyvtárba winis.exe és nvsc32.exe néven
– megkísérel MSN Messengeren keresztül szaporodni
– létrehozhatja a win-xp=winis.exe és a win-xp=nvsc32.exe bejegyzéseket a következő Registry kulcsokban:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_LOCAL_MACHINE/Software/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Countrol/Lsa
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE
. HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Countrol/Lsa
– megkísérel IRC-n keresztül terjedni, a 6667-es TCP porton csatlakozik egy IRC-szerverhez és alkotójától érkező parancsokra várakozik
– más számítógépek után kutat a hálózaton, és a gyenge jelszavakat kihasználva hálózati megosztásokon át is igyekszik szaporodni
– a következő biztonsági réseket igyekszik kihasználni további terjedés céljából:
. DCOM RPC
. Microsoft Windows Local Security Authority Service Remote Buffer Overflow
. Workstation Service Buffer Overrun
– leállítja a rendszerre telepített antivírus és tűzfal szoftverek futó process-eit