Jelszavainkra utazó féreg

A féreg paraméterei

Felfedezésének ideje: 2005. január 7.
Utolsó frissítés ideje: 2005. január 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 67.072 byte (.exe), 17.920 byte (.dll)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– hozzáadja az auto=1 bejegyzést a HKEY_LOCAL_MACHINE/Software/Soft/DownloadWWW Registry kulcshoz
– leállítja a Zone Alarm tűzfalat, ha az fel van telepítve a megtámadott rendszerre
– leállítja a következő, rendszervédelemmel kapcsolatos process-eket, ha azok futnak:
. Ravmon.exe
. EGHOST.EXE
. MAILMON.EXE
. KAVPFW.EXE
. IPARMOR.EXE
– beírja a DLL állományt az Internet Explorerbe
– letölt egy jelszótolvaj programot a www.twavgirl.com website-ról, és 1.exe néven elmenti a Windows mappájába
– .exe file-ok után kutat az összes helyi meghajtón (a C-től kezdve), és megfertőzi mindet
– a fenti műveletsor alól az alábbi könyvtárban található .exe állományok jelentenek kivételt:
. system
. system32
. windows
. Documents and Settings
. System Volume Information
. Recycled
. winnt
. Program Files
. Windows NT
. WindowsUpdate
. Windows Media Player
. Outlook Express
. Internet Explorer
. ComPlus Applications
. NetMeeting
. Common Files
. Messenger
. Microsoft Office
. InstallShield Installation Information
. MSN
. Microsoft Frontpage
. Movie Maker
. MSN Gaming Zone
– a fertőzött állományok mérete 67.072 byte-tal növekszik, ikonjuk pedig a ZIP-állományoknál láthatóra hasonlít
– létrehoz önmagáról egy másolatot a Windows könyvtárban Logo1_.exe néven
– az aktuális könyvtárban létrehozza a virDll.dll állományt, amikor egy, a W32.Looked.B által már megfertőzött állomány futtatásra kerül
– felmásolja magát a következő hálózati megosztásokra, ha azok üres vendég vagy adminisztrátori jelszót tartalmaznak:
. IPC$
. ADMIN$
– ICMP-forgalmat bonyolít le a következő IP-címekkel, mely többek között a “Hello,World” szöveg elküldését is magában foglalja: 192.168.0.30, 192.168.8.1
– a hosts file-t átírja oly módon, hogy rengeteg oldalt elérhetetlenné tesz, IP-címként a local loopbacket bejegyezve a domainnevük mellé