Windows-os hibák segítségével terjedő féreg

A féreg paraméterei

Felfedezésének ideje: 2005. április 10.
Utolsó frissítés ideje: 2005. április 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– elsőként a C meghajtó gyökerében jelenik meg, Service.exe néven
– felmásolja a System mappába önmagát scvhosts.exe néven, melynek attributumát rejtettre, csak olvashatóra és rendszerre állítja
– hozzáadja a “Windows Host Service” = “scvhosts.exe” bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run, a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices és a HKEY_CURRENT_USER/Software/Microsoft/OLE kulcsokhoz
– megpróbál terjedni a következő sebezhetőségek kiaknázásával:
. Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Windows Local Security Authority Service Remote Buffer Overflow
. Workstation Service Buffer Overrun vulnerability
– az ftpservice.015.info domainen található IRC-szerverhez csatlakozik, és alkotójától érkező parancsokra vár, melyek a következők lehetnek:
. DoS-támadás kezdeményezése
. process-ek leállítása, indítása
. file-ok letöltése, futtatása
. a fenyegetés frissítése, eltávolítása