Újabb, Messengereket támadó féreghullám

A féreg paraméterei

Felfedezésének ideje: 2005. március 7.
Utolsó frissítés ideje: 2005. március 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: B változat: 49.011 byte; C változat: 5.742 byte, 93.463 byte; D változat: 5.738 byte, 119.968 byte (rar)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– a Windows és az MSN Messenger kontaktjai számára elküldi a következő üzenetet:
B változat: [a home.earthlink.net domain egyik oldalára mutató link] lol! see it! u´ll like it
C változat: hot pic!!~[a mxt-networkz.com domain domain egyik oldalára mutató link]/parishilton.pif~
D változat: haha look at us http://[domain]/youandme.pif
– a folyamat akkor zajlik tovább, ha a címzett rákattintott a linkre és letöltötte, majd lefuttatta az omg.pif, parishilton.pif vagy a youandme.pif file-t
– megpróbálkozik ugyaninnen egy másik állomány (me.jpg) letöltésével, melyet a C gyökerébe dumprep.exe, mafia.exe vagy f.exe néven ment el (ez a W32.Spybot.Worm egyik variánsa); illetve a C és a D változat még létrehoz egy link.exe állományt is
– ha a Spybot futtatásra kerül, akkor bemásolja magát a System könyvtárba hotkeysvc.exe, nvsc32.exe vagy lsassx.exe néven, rejtett, csak olvasható és rendszer attributummal
– a B változat egy további állomány letöltésével is megpróbálkozik a yoursite.com webhelyről
– a CPQHotkeys=hotkeysvc.exe vagy a Windows Taskmanager=lsassx.exe vagy a NvCplScan=nvsc32.exe bejegyzést (variánstól függően) számos Registry kulcshoz hozzáadja, így biztosítva a digitális kártevő futtatását
– a B változat hozzáadja az EnableDCOM=N bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Ole kulcshoz, annak érdekében, hogy letiltsa a DCOM-ot
– a C változat megkísérel a 8080-as TCP porton át a következő domaineken futó IRC szerverek egyikéhez vagy mindkettőhöz csatlakozni: bla.m0ker.com, bla.w00pie.nl
– a D változat létrehoz egy NvCplScan nevű service-t, mely a letöltött file-ra mutat; illetve megkísérel Windows sebezhetőségek (DCOM RPC vulnerability, Windows Local Security Authority Service Remote Buffer Overflow) kihasználásával terjedni