Újabb féreg a Windows-sebezhetőséget kihasználnó Sasser nyomán

A féreg paraméterei

Felfedezésének ideje: 2004. május 17.
Utolsó frissítés ideje: 2004. május 18.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 21.504 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– EXE kiterjesztéssel, véletlenszerű karakterekből összeállított néven bemásolja magát a System könyvtárba
– hozzáad egy, a fenti file-ra mutató bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehoz egy .tmp kiterjesztéssel bíró DLL állományt a Windows Temp mappájában; ez tartalmazza a féreg e-mailező funkcióját
– beleépíti a fenti DLL állományt az Explorer.exe file-ba (ennek eredményeként összeomolhat a böngésző), majd saját process-ét leállítja
– véletlenszerűen generált IP-címeket néz át, s megkísérel a 445-ös TCP porton keresztül becsatlakozni
– amennyiben sikerrel jár, megpróbálja kihasználni a Windows-ban levő LSASS sérülékenységet; ha ez is sikerül, lefuttatja saját magát a távoli számítógépen (ennek során egyébként a Sasserhez hasonlóan újraindulhat a számítógép)
– megnyit számos, véletlenszerűen kiválasztott portot és bejövő kapcsolatokra vár
– saját SMTP-szerverét is elindítja, amely révén így a megfertőzött számítógépek spam relay-kén használhatók