Gyenge jelszavak révén terjedő féreg

A trójai paraméterei

Felfedezésének ideje: 2004. október 18.
Utolsó frissítés ideje: 2004. október 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 45.152 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a -rb0t-serv3r nevű mutexet, hogy csak egyszer kerüljön be a memóriába
– létrehozza önmaga másolatát a System könyvtárban fwr.exe néven
– hozzáadja a Fwr Command Module=fwr.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– törli a következő helyi megosztásokat: $ipc, $admin, $c, $d
– megkísérel hátsó kaput nyitni a rendszeren a loser.ezirc.net IRC-csatornához a 6667-es TCP porton való csatlakozással
– játékokhoz tartozó jelszavakat és CD-kulcsokat lophat el a rendszerből
– megkísérli felmásolni magát távoli számítógépekre, ehhez véletlenszerűen generált IP-címeket használ; illetve tartalmaz egy előre elkészített jelszólistát, aminek elemeit végigpróbálgatja a távoli számítógépről megszerzett felhasználóneveken

A trójai kínálta lehetőségek

– file-ok letöltése és futtatása
– process-ek listázása, megállítása és elindítása
– DoS-támadások kezdeményezése
– rendszerinformációk ellopása és alkotójának való továbbítása
– port átirányítása
– socks4 proxy indítása
– saját SMPT-motorja révén e-mailek küldése