Rendszerhibákat befoltozó féreg

A féreg paraméterei

Felfedezésének ideje: 2005. január 11.
Utolsó frissítés ideje: 2005. január 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 52.224 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehoz egy MSalltheway nevű mutexet, melynek révén eléri, hogy csak egyszer kerül betöltésre a memóriába
– felmásolja magát a System könyvtárba desktop.exe névvel
– számos bejegyzést rögzít vagy módosít a Registry-ben (a rendszer biztonsági szintjének csökkentése végett), többek között egy, a fenti állományra mutatót is; illetve jónéhány értéket letöröl a rendszerleíró adatbázisból
– megkísérel az 5467-es TCP porton keresztül a következő IRC-szerverek valamelyikéhez csatlakozni:
. meatme.gotdns.org
. savanaz.25u.com
. junglez.afraid.org
. savanaz.afraid.org
– ha sikerrel járt, alkotójától érkező parancsokra vár
– leellenőrzi a számítógép operációs rendszerének verzióját, szervizcsomag számát stb.
– megkísérel csatlakozni a Microsoft Windows Update szolgáltatásához és onnan javításokat letölteni az alábbi sebezhetőségekhez:
. Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Microsoft Windows LSASS Buffer Overrun Vulnerability
. Microsoft SQL Server Web Task Stored Procedure Privilege Escalation Vulnerability
– hálózati megosztások, valamint FTP, telnet, vnc, dameware, realserv, mysql, radmin és nprint szolgáltatások után keres, s megkísérli magát ezek valamelyike révén felmásolni a távoli rendszerbe különböző, előre legyártott listában található felhasználónevek és jelszavak végigpróbálgatásával
– e-mail relay-ként és proxy-ként funkcionál tovább