W32.Slackor – bonyolult féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. március 5.
Védekezés elkészültének ideje: 2003. március 7.
Veszélyeztetett operációs rendszerek: Windows NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x/9x/Me, Macintosh, UNIX, Linux
Mérete: 28.672 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

A Cnn3.exe tulajdonképpen egy trójai program, amely felmásolja a rendszerre (C meghajtó gyökérkönyvtára, vagy itt Sp, Sa könyvtára a célpont, verziótól függően) a féreg elemeit és egyéb trójai programokat, rejtett attributummal.

A felmásolt állományok

Psexec.exe (122.880 byte) – mely révén távolról lehet futtatni programokat
Abc.bat (~ 1433 byte) – szövegfile, amely a felhasználói neveket és jelszavakat hordozza
ips.txt – IP-címek generálását segítő számokat tartalmazó szöveges állomány
Slacke-worm.exe (28.672 byte) – IP-címek keresésére használható program
Main.exe (~ 52 Kbyte) – IRC-trójai program

A Slacke-worm.exe aktiválódása esetén lezajló események

– létrehoz véletlenszerűen generált IP-címeket, melyek első két tagja megegyezik az áldozatul esett számítógép IP-címének első két tagjával; a második kettőt pedig a féreg hozza létre
– a 445-ös porton keresztül egy SYN TPC csomagot küld a fent említett módon létrehozott IP-címre, meghatározandó, hogy a Server Message Block (SMB) elérhető-e
– megkísérel a Windows IPC$ megosztáshoz kapcsolódni mindegyik számítógépen, azon jelszavakat és felhasználói neveket használva, amelyeket a féreg egy szöveges file-ban hordoz
– amennyiben sikeresen létrehozza a kapcsolatot, felmásolja elemeit a távoli számítógép System könyvtárába

A Main.exe aktiválódása esetén lezajló események

– különböző neveken felmásolja magát a System könyvtárba
– hozzáad egy saját magára mutató bejegyzést a következő két Registry kulcshoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– megnyit egy véletlenszerűen választott TCP portot, lehetővé téve a támadó számára a csatlakozást
– saját IRC-kliensén keresztül parancsokra vár
– megpróbálja letölteni a féregfile-t néhány, előre meghatározott website-ról