HTML állományokat utánoz a Rahack féreg

A féreg paraméterei

Felfedezésének ideje: 2005. január 6.
Utolsó frissítés ideje: 2005. január 6.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza az alábbi állományokat a System könyvtárban:
. mscolsrv.exe
. server.dll
. svchsot.exe
. syshid.exe
– létrehozza a bejelentkezett felhasználóhoz tartozó Start Menu/Programs/Startup könyvtárban a system.vbs file-t
– hozzáadja a sysser=[System eléréis útvonala]/svchsot.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz, így a Windows minden indításakor betöltődik a féreg
– a HKEY_CLASSES_ROOT/exefile/shell/open/command Registry kulcs alapértelmezett értékét syshid.exe %1 %* -ra változatja
– létrehozza a következő bejegyzéseket a rendszerleíró adatbázisban:
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/MSCoolServ.
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/MSCoolServ
. HKEY_LOCAL_MACHINE/SOFTWARE/RAdmin/v1.1
. HKEY_LOCAL_MACHINE/SYSTEM/RAdmin/v2.0
– létrehozza a MSCoolServ nevű service-t
– .htm és .html kiterjesztésű file-ok után kutat, s ha talál, bemásolja magát a célkönyvtárba az állomány eredeti nevén, .exe kiterjesztéssel
– hozzáadja a HKEY_CLASSES_ROOT/CLSID/[véletlenszerűen választott CLSID] kulcshoz az alábbi bejegyzéseket:
. (Default) = sysser
. (Default) = [path to executable]
– rögzít egy taget a HTLM állományokban, ami a fenti Registry kulcsra mutat, így minden alkalommal, amikor a HTLM file futtatásra kerül, egyben a .exe állományt is elindítja a rendszer
– IP-címeket keres, melyben az első két oktet véletlenszerűen választott, a második kettőt pedig .0.1-től .255.255-ig sorban mind végigpróbálgatja a 4899-es TCP porton át
– minden olyan IP-címet rögzít a logX.txt állományba, melynek 4899-es TCP portján a Radmin fut
– megkísérel hozzáférni a távoli számítógépekhez a Radmin használatával, a következő jelszavak kipróbálásával:
. 123456789
. 11111111
. 12345678
. password
. qwertyui
. 00000000
. 12341234
– amennyiben be tudott jutni a távoli PC-be, akkor felmásolja magát annak C meghajtóján található wutemp könyvtárába, srvsxc.exe néven, majd megpróbálkozik az állomány futtatásával