W32.Opaserv.G.Worm – folyamatosan megújuló féreg

A féreg paraméterei

Felfedezésének ideje: 2002. október 29.
Védekezés elkészültének ideje: 2002. október 29.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 12.800 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi a Cuzao!Old bejegyzés meglétét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– amennyiben létezik, a féreg letörli azt az állományt, amire a bejegyzés mutat
– ha nem létezik, akkor a féreg megkeresi a cronos érték meglétét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban, ha nem létezik, hozzáadja a cronos C:/WINDOWS/marco!.scr bejegyzést
– leellenőrzi, hogy a C:/WINDOWS/marco!.scr állomány már volt-e futtatva/megnyitva
– ha nem, ezen a neveken felmásolja magát és hozzáadja a Cuzao!Old bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza egy mutexet, hogy biztos lehessen abban, csak egyszer került futtatásra
– amennyiben még nem futott, akkor service processként regisztrálja magát
– a C meghajtó megosztásaiba felmásolja magát Marco!.scr néven
– Windows 9x/Me alatt ki tud használni egy biztonsági hiányosságot, melynek révén a jelszó ismeretének hiányában is képes hozzáférni a megosztott meghajtókhoz; az ezt javító patch a lenti linkről tölthető le
– módosítja a Win.ini állományt, a következő sor adja hozzá: run= c:/Windows/Brasil.exe,c:/Windows/Brasil.pif c:/Windows/marco!.scr