Féregre figyelmeztető digitális kártevő

A féreg paraméterei

Felfedezésének ideje: 2005. március 18.
Utolsó frissítés ideje: 2005. március 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 93.590 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– az MSN Messenger kontaktjai számára elküldi a következő üzenetet: There is a MSN Messenger virus released to protect yourself against this virus download this file : >
– a folyamat akkor zajlik tovább, ha a címzett rákattintott a http://[domain]/jansdavy/Bropia_a_patch.exe linkre és letöltötte, majd lefuttatta a fenti, önkicsomagoló RAR állományt
– létrehoz egy link.exe (a féreg fenti link-küldözgető rutinja) ésa Program Files mappában egy Good könyvtárat, azon belül pedig egy xs.exe (W32.Spybot.Worm) és egy fx.exe állományt; ez utóbbi a féreg MSN Messengeren keresztüli terjedését lehetővé tevő modul
– létrehozza a wmplayer.exe file-t (W32.Spybot.Worm) a System könyvtárban, rejtett, csak olvasható és rendszer attributummal
– hozzáad egy, a fenti állományra mutató bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run, a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices és a HKEY_CURRENT_USER/Software/Microsoft/OLE kulcsokhoz
– hozzáad egy, a fenti Good mappára mutató bejegyzést a HKEY_CURRENT_USER/Software/WinRAR SFX/ kulcshoz
– felméri a felhasználókat annak érdekében, hogy fel tudja magát másolni a hálózati megosztásokba
– a Spybot jelenléte miatt a 8080-as TCP porton hátsó kapu nyílik a rendszere, ami miatt a következő dolgokat lehet megtenni a fertőzött számítógépen:
. hátsó kapu megnyitása, jogosulatlan hozzáférés biztosítása
. játékok CD-kulcsainak ellopása
. futó process-ek és service-ok leállítása
. keylogger telepítése stb.