W32.Kwbot.Worm – önmagát frissítő, KaZaA-n terjedő féreg

A trójai program tulajdonságai

Felfedezésének ideje: 2002. június 19.
Védelem elkészítésének ideje: 2002. június 19.
Veszélyeztetett rendszerek: minden, KaZaA-t futtató rendszer
Mérete: 19.600 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– bemásolja magát a System könyvtárba Explorer32.exe néven
– hozzáadja a Windows Explorer Update Build 1142 C:/%SYSTEM%/EXPLORER32.EXE értéket a következő Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
ennek következtében minden rendszerinduláskor futtatásra kerül a Kwbot (a %SYSTEM% könyvtár az adott rendszerre értelmezhető elérési útvonalat jelenti)
– véletlenszerűen megnyit egy TCP portot, hogy kapcsolatot létesítsen a hackerrel
– saját IRC kliensének köszönhetően fellép egy IRC csatornára, ahol a hackertől parancsra vár
– bemásolja magát a KaZaA megosztott könyvtárába a következő listából véletlenszerűen választott néven:
Sum of all Fears SVCD CD3.exe
Star Wars Episode 2 – Attack of the Clones VCD CD2.exe
Spiderman SVCD CD3.exe
Grand Theft Auto 3 CD2 ISO.exe
Playstation 2 PS2 Emulator.exe
Windows XP Home to Professional Upgrade.exe
Windows XP backdoor hack.exe
Windows 2000 win2k password stealer.exe
Microsoft Office XP Upgrade (from older versions).exe
Macromedia Flash 5 Ultimate Study Guide.exe
ZoneAlarm Firewall Pro.exe
Norton Internet Security 2002.exe

A trójai program kínálta lehetőségek

– a program telepítésének vezérlése
– a fertőzött számítógép IRC-kliensének ellenőrzése
– a telepített trójai folyamatos frissítése
– file-ok letöltése és futtatása
– rendszer- és hálózati információk elküldése a hackernek
– a hacker által meghatározott célpont elleni DoS támadás kezdeményezése
– önmaga teljes, Registry-re is kiterjedő uninstallálása