DivX-javításnak álcázott féregvírus

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 12.
Utolsó frissítés ideje: 2003. február 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Explorer.exe és RealWayToHack.exe néven
– hozzáadja az EXPLORER C:/Windows/System/EXPLORER.EXE bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megváltoztatja a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main Registry kulcs RegisteredOrganization bejegyzésének értékét a következőre: http://www.crash.com
– számos behatolásvédelmi szoftver futó processének leállítására is képes
– létrehozza a System könyvtárban az Explorer.vbs állományt, mellyel továbbítja magát azon Mirc felhasználók számára, akik a fertőzött számítógéppel vannak egy csatornán
– létrehozza a Windows könyvtárban a Sys32 mappát, majd ezt megteszi a Kazaa megosztott könyvtárának
– bemásolja ide magát különböző, figyelemfelkeltő file-neveken, néhány példa:
Britney.jpg.exe
Divx_repair.jpg.exe
Host_faker.jpg.exe
Hotmail_account_sniffer.jpg.exe
Iis_shellbind_exploit.jpg.exe
Ip_spoofer.jpg.exe
Linux_root.jpg.exe
Porn_account_hacker.jpg.exe
Tripod_hacker.jpg.exe
Winxp_cracker.jpg.exe
Xbox_emulator_beta.jpg.exe
– HTTP-kapcsolatot nyit egy, a hacker által előre meghatározott webszerverhez; ide elküldi a kapcsolat TCP portszámát, a fertőzött számítógép IP-címét, és e-mailben értesíti az áldozat PC rendszerinformációiról a támadót
– megnyit egy TCP portot, hogy csatlakozhasson készítőjéhez

A féreg trójai része kínálta lehetőségek

– a féreg telepítésének menedzselése
– a fertőzött számítógépről való információk ellopása
– file-ok törlése, futtatása
– billentyű-leütések logolása
– IRC engedélyezése, tiltása
– egyéb zavaró műveletek