Hátsó ajtót nyitó féreg

A féreg paraméterei

Felfedezésének ideje: 2005. január 3.
Utolsó frissítés ideje: 2005. január 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 33.765 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System mappába systacq.exe névvel
– hozzáadja a Syntax Script=systacq.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– hátsó kaput nyit a megfertőzött számítógépen azzal, hogy a domain bob.nsns.biz címen levő IRC-szerverhez csatlakozik, a 29147-es TCP porton keresztül
– a távoli támadótól érkező parancsokra (URL-hez csatlakozás, file-ok fel- és letöltése, programok futtatása stb.) várakozik
– hálózati megosztásokon (C$, IPC$, ADMIN$) keresztül terjed; ezeket véletlenszerűen generált IP-címeken próbálja ki
– terjedéséhez a NetUserEnum API-t használja fel, így szerez felhasználóneveket a megtámadott rendszerhez, jelszóként pedig egy elég nagy, előre elkészített listát próbálgat végig; néhány példa:
. admin
. administrateur
. administrator
. afro
. asd
. backup
. barbara
. bill
. blank
. bruce
. capitol
. changeme
– ha sikerrel járt, megkísérli felmásolni a System könyvtárban található systca.exe állományt a távoli rendszerre (ez a file magában foglalja a Backdoor.Ranky.P és a Backdoor.Sdbot.AI digitális kártevőket)