Tovább él és virul az MSN Messengert használókat fenyegető féreg

A féreg paraméterei

Felfedezésének ideje: 2005. április 12.
Utolsó frissítés ideje: 2005. április 12.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 12.288 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a következő üzenetek egyikét elküldi minden MSN Messenger kontakt számára, amennyiben az üzenőkliens fel van telepítve a rendszerre (mindegyik üzenetben szerepel a [domain].us:81/crazy.scr link):
. Hey, i almost pee´d my pants when i saw this
. hahaha crazy bust check it out
. omg osoma, the feds finally got em
. look who they just captured
. wow the fbi is awesome
– amennyiben a felhasználó megkapja ezt az üzenetet és rákattint, egy rosszindulatú webhelyre lesz átirányítva, és a távoli állomány (crazy.scr) letöltésre kerül; ez a W32.Spybot.Worm féreg egyik másolata
– felmásolja magát a System könyvtárba msmmsgr.exe néven, melynek rejtett, csak olvasható és rendszer attributumot állít be
– hozzáadja a MSN MESSENGER=msmmsgr.exe bejegyzést az alábbi Registry alkulcsokhoz:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– megkísérel a 8126-os TCP porton keresztül a mon.pj34r.us domainen található IRC-szerverhez csatlakozni, így a következő lehetőségeket kínálva fel alkotójának:
• HTTP szerver megnyitása
• csomagok átirányítása
• file-ok letöltése
• billentyűzet LED-jeinek villogtatása, CD-ROM kinyitása/becsukása
• process-ek és service-ok leállítása
• billentyű-leütést figyelő program telepítése stb.