E-mail nélkül, rendszerhiba révén terjedő féreg

A féreg paraméterei

Felfedezésének ideje: 2004. december 10.
Utolsó frissítés ideje: 2004. december 13.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/2k3, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 13.312 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés meggátlása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba a következő nevek valamelyikén: upnphost.exe, pnphost.exe, winpnp.exe
– létrehozza a következő service-t:
Név: WUClient
Kijelzett név: Windows Update Client
– FTP-szervert indít az 5533-as TCP-porton; ezt arra használja fel, hogy más hostokat is megfertőzzön
– véletlenszerűen generált IP-címekhez próbál meg csatlakozni a 445-ös TCP porton; ha a csatlakozás létrejön, elküldi shellkódját a hostnak, ami által távoli shell futtatására nyílik lehetőség az 5534-es porton keresztül
– a fentieket kihasználva a féreg visszacsatlakozik az 5533-as TCP porton elérhető FTP-szerverhez, és innen letölti önmaga másolatát
– csatlakozik a 203.167.78.35-ös IP-című IRC-szerverhez és alkotójától érkező parancsokra vár