W32.Dalbug.Worm – trükkös féreg

A féreg paraméterei

Felfedezésének ideje: 2002. július 8.
Védekezés elkészültének ideje: 2002. július 9.
Veszélyeztetett operációs rendszerek: Windows NT/2k/XP, Microsoft IIS
Nem érintett operációs rendszerek: Windows 3.x/9.x/Me, Macintosh, Unix, Linux
Mérete: 28.672 byte, 274.432 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktivizálódásakor bekövetkező események

– a célszámítógép Service Control Managerét próbálja megnyitni, amennyiben sikerül, feltelepíti magát, mint service, a következő paraméterekkel:
Név: NtLmHosts
Kijelzett név: TCP/IP NetBIOS Provider
Leírás: Provides NetBIOS over TCP/IP (NetBT) service support for NetBIOS name resolution.
Elérési út: Windows/System32/lmhsvc.exe
– létrehozza és futtatja a Windows könyvtárban az Smss.exe és a Csrss.exe állományokat
– létrehozza a Windows/System32/Lady.exe állományt, amely egy nem fertőző, úgynevezett joke program
– az Smss.exe és a Csrss.exe file-ok hárommásodpercenként ellenőrzik, hogy a Dalbug fut-e, amennyiben nem, újraindítják
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban minden 10 másodpercben hozzáadja a következő két bejegyzést:
Smss.exe Windows/smss.exe
Csrss.exe Windows/csrss.exe
– amennyiben elindul a Regedit.exe, megpróbálkozik a leállításával, ha nem sikerül, akkor törli a fenti két bejegyzést (ideiglenesen)
– felmásolja a férget a következő helyekre:
Windows/inf/Cdrom.sys
Windows/Fonts/Dosoem.fon
Windows/Help/Dosapp.hlp