Sasseren élősködik a Dabber féregvírus új változata

A féreg paraméterei

Felfedezésének ideje: 2004. június 4.
Utolsó frissítés ideje: 2004. június 4.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Macintosh, UNIX, Linux, OS/2
Mérete: 34.304 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza az omgwtfhi2uhaxplz!!11111!!!111 ˝nevű˝ mutexet, ezzel akadályozva meg a memóriába való többszöri betöltődését
– megkísérli létrehozni önmaga másolatait (package.exe) a következő helyeken:
. System mappa
. C:/Documents and Settings/All Users/Start Menu/Programs/Startup
. [Windows elérési útvonala]/All Users/Main menu/Programs/StartUp
– hozzáadja a sassfix=[System elérési útvonala]/package.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa Registry kulcshoz a következő két bejegyzést:
. restrictanonymous=1
. restrictanonymoussam=1
– hozzáadja a Start=1 bejegyzést a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess kulcshoz illetve a HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wscsvc Registry kulcshoz
– a féreg megkísérel számos olyan bejegyzést letörölni a rendszerleíró adatbázisból, melyeket más kártevők hoztak létre; a következő kulcsokból szedi ki ezeket a bejegyzéseket:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/.DEFAULT/SOFTWARE/Microsoft/Windows/
CurrentVersion/Run
. HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32/
– IP-címeken olyan alhálózatok után keres, melyeket a Sasser már megfertőzött az 5554-es TCP porton keresztül; amennyiben talál ilyet, kihasználja a Sasser FTP szerverének funkcióit: letölteti magát a féreggel
– nyit egy hátsó kaput a megfertőzött rendszeren, mely a 9898-as TCP porton hallgatózik; ezzel lehetővé téve, hogy alkotója rendszerszintű hozzáférést kapjon az áldozatul esett számítógéphez