Rendszerhiba révén szaporodó féreg

A féreg paraméterei

Felfedezésének ideje: 2005. március 9.
Utolsó frissítés ideje: 2005. március 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– a Windows és az MSN Messenger kontaktjai számára elküldi a következő üzenetet: http://[domain]/hottt.pif
– a folyamat akkor zajlik tovább, ha a címzett rákattintott a linkre és letöltötte, majd lefuttatta a fenti, önkicsomagoló RAR állományt
– létrehoz egy link.exe és egy buddie.exe (W32.Spybot.Worm) állományt
– ha a Spybot futtatásra kerül, akkor bemásolja magát a System könyvtárba lsassx.exe néven, rejtett, csak olvasható és rendszer attributummal
– hozzáadja a Windows Taskmanager=lsassx.exe bejegyzést a következő Registry kulcsokhoz, így biztosítva a digitális kártevő futtatását:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE
– megkísérel a DCOM RPC és az LSASS sebezhetőségek révén szaporodni