Windows-os sebezhetőség révén terjedő féreg

A féreg paraméterei

Felfedezésének ideje: 2005. április 4.
Utolsó frissítés ideje: 2005. április 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 32.838 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– msveup.exe néven felmásolja magát a System könyvtárba
– hozzáadja a .msfupdate=[System elérési útvonala]/msveup.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run, és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcsokhoz
– a következő, behatolásvédelmi szoftverekkel kapcsolatos process-ek leállítására képes (és ezt meg is próbálja):
• SAVScan
• SharedAccess
• Symantec Core LC
• kavsvc
• navapsvc
• wscsvc
• wuauserv
– egy véletlenszerűen választott TCP porton hátsó kaput nyit a rendszerben, majd értesítést küld alkotójának arról, hogy a számítógép távolról vezérelhetővé vált
– letölt egy állományt (readme001.txt) a következő domainek egyikéről:
• doalloc.com
• nevertest.com
• rpcset.com
• upalloc.com
– a fenti állomány olyan URL-ek listáját tartalmazza, melyekről további állományokat tud letölteni és futtatni a féreg
– egy újabb file letöltését próbálja meg az upalloc.com címről, de ez a cikk írásának időpontjában nem volt elérhető
– hálózati megosztások révén terjed; a Microsoft Windows Local Security Authority Service Remote Buffer Overflow sérülékenységet használja ki