Régi Windows-os sérülékenység révén terjedő féreg

A féreg paraméterei

Felfedezésének ideje: 2005. március 24.
Utolsó frissítés ideje: 2005. március 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 44.032 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megkísérel hozzáférni a 195.82.18.1-es IP-címhez
– megkísérel további, véletlenszerűen generált IP-címekhez csatlakozni; ezeken pedig a Microsoft Windows DCOM RPC sebezhetőséget próbálja meg kihasználni: ha a megtámadott PC-n nincs még feltelepítve ennek a biztonsági résnek a javítása, akkor a 139-es TCP porton át be is tud jutni a rendszerbe
– amennyiben sikerrel járt, a féreg elküldi shell kódját a fertőzött számítógépnek, ami révén megnyitja a 4444-es TCP portot
– megkísérel letölteni egy állományt (syzhost.exe) egy, a nukestyles.com domainen található FTP-szerverről, és ha sikerrel járt, le is futtatja (igaz, ez a file a vikk írásának időpontjában nem volt elérhető)