Újabb változat a Blaster féregvírusból

A féreg paraméterei

Felfedezésének ideje: 2004. április 21.
Utolsó frissítés ideje: 2004. április 21.
Veszélyeztetett rendszerek: Windows NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 28.160 byte, 66.048 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi, hogy a számítógép megfertőződött-e már, elkerülendő a felülfertőzést
– bemásolja magát a System könyvtárba eschlp.exe és svchosthlp.exe neveken
– hozzáadja a Helper=[System elérési útvonala]/eschlp.exe /fstart és az MSUpdate=[System elérési útvonala]/svchosthlp.exe bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Sysuser kulcsot a rendszerleíró adatbázisban
– az esetek 40 százalékában a következőképp hoz létre egy IP-címet:
. a host IP A.B.C.D, ahol D értéke 0 lesz, A és B értéke pedig megegyezik a megfertőzött számítógép IP-címének első két tagjával
. amennyiben C nagyobb, mint 20, kivon belőle egy 20-nál kisebb véletlenszámot
. amennyiben létrehozta az IP-címet, megkísérli az ezen található számítógépen kihasználni az RPC hibát, majd mindig egyet hozzáadva az IP-cím utolsó számához, újabb és újabb számítógépekkel próbálkozik
– az esetek 60 százalékában teljesen véletolenszerűen hoz létre IP-címeket
– megváltoztatja az Internet Explorer kezdőlapját a http:/ /www.getgood.biz URL-re

A támadás folyamata

– a 135-ös TCP porton keresztül elküld egy olyan adatcsomagot, mellyel ki tudja használni a Windows RPC hibát (néha olyan adatot küldhet a célszámítógépnek, amitől annak rendszere összeomolhat); ez az esetek 80 százalékában Windows XP-t céloz, a fennmaradó 20 százaléknál Windows 2k-t
– létrehozza a rejtett Cmd.exe állományt, mely a 4444-es TCP porton hallgatózik
– a 69-es UDP porton hallgatózik; ha kérelmet kap, parancsot küld a távoli számítógépnek a fertőzött gazdagéppel való kapcsolat újrafelvételére, ahonnan letölti és futtatja az mschost.exe állományt