Játékok CD-kulcsait lopkodó féregvírus

A féreg paraméterei

Felfedezésének ideje: 2004. március 19.
Utolsó frissítés ideje: 2004. március 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 278.528 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a System könyvtárba soundman.exe vagy confgldr.exe névvel
– hozzáadja a ^´d}qZxu=~´d}qzxu3zYF és a Configuration Loader=confgldr.exe bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– Configuration Loader vagy SoundMan néven létrehoz egy service-ot és bekonfigurálja oly módon, hogy az startupnál mindig automatikusan elinduljon
– minden file-t elrejt, ami tartalmazza a soun szringet
– olyan webcímeket adja System/drivers/etc/hosts file-hoz, melyek révén meg tudja akadályozni, hogy a fertőzött számítógépről külső webcímeket el lehessen érni (tipikusan antivírus cégek weboldalait teszi elérhetetlenné)
– egy előre meghatározott IRC-csatornához csatlakozik, saját IRC-kliensének révén; parancsokra várakozik
– a fentiek révén lehetővé teszi egy távoli támadónak, hogy file-okat töltsön le és futtasson, ellophassa a rendszerinformációkat, e-mailcímeket gyűjthessen és különböző játékok CD-kulcsait is megszerezhesse
– hálózaton való terjedését három biztonsági hiányosság teszi lehetővé:
. DCOM RPC vulnerability – patch letöltése
. RPC locator vulnerability – patch letöltése
. WebDav vulnerability – patch letöltése
– megpróbál a helyi hálózat megosztott könyvtáraiba bejutni, ehhez különböző, többnyire előre definiált felhasználóneveket és jelszavakat alkalmaz
– amennyiben sikerrel járt a fenti művelet, bemásolja magát az áldozatul esett számítógép merevlemezére
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– kitörli a Registry-ből az esetlegesen már betelepül más digitális kártevől bejegyzéseit