Román szervert támad a legújabb Blaster variáns

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 1.
Utolsó frissítés ideje: 2003. szeptember 2.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 11.808 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi, hogy a számítógép megfertőződött-e már, elkerülendő a felülfertőzést
– hozzáadja a windows www.hidro.4t.com=enbiei.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az esetek 40 százalékában a következőképp hoz létre egy IP-címet:
. a host IP A.B.C.D, ahol D értéke 0 lesz
. amennyiben C nagyobb, mint 20, kivon belőle egy 20-nál kisebb véletlenszámot
. amennyiben létrehozta az IP-címet, megkísérli az ezen található számítógépen kihasználni az RPC hibát, majd mindig egyet hozzáadva az IP-cím utolsó számához, újabb és újabb számítógépekkel próbálkozik
– az esetek 60 százalékában teljesen véletolenszerűen hoz létre IP-címeket

A támadás folyamata

– a 135-ös TCP porton keresztül elküld egy olyan adatcsomagot, mellyel ki tudja használni a Windows RPC hibát (néha olyan adatot küldhet a célszámítógépnek, amitől annak rendszere összeomolhat); ez az esetek 80 százalékában Windows XP, a fennmaradó 20 százalékban Windows 2000 ellen irányul
– létrehozza a rejtett Cmd.exe állományt, mely a 4444-es TCP porton hallgatózik
– a 69-es UDP porton hallgatózik; ha kérelmet kap, parancsot küld a távoli számítógépnek a fertőzött gazdagéppel való kapcsolat újrafelvételére, ahonnan letölti és futtatja az mslaugh.exe állományt
– ha az aktuális dátum szeptember és december közé esik, vagy a jelenlegi dátum a hónap 15-e utáni, a féreg DoS-támadást kísérel meg a tuiasi.ro website ellen; ez azonban csak a következő feltételek esetén valósul meg:
. a féreg olyan Windows XP-s számítógépen fut, amelyik már korábban újra lett indítva
. a féreg olyan Windows 2000-s számítógépen fut, amelyik korábban még nem lett újraindítva (kivéve, ha Administratorként van bejelentkezve az aktuális felhasználó)