Még mindig védtelenek a férgektől a Messenger felhasználók

A féreg paraméterei

Felfedezésének ideje: 2005. március 31.
Utolsó frissítés ideje: 2005. április 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– a következő üzenetet elküldi minden MSN Messenger kontakt számára, amennyiben az üzenőkliens fel van telepítve a rendszerre: [domain]/bigjump.com
– amennyiben a felhasználó megkapja ezt az üzenetet és rákattint, egy rosszindulatú webhelyre lesz átirányítva, és a távoli állomány (bigjump.com) letöltésre kerül; ez a W32.Kelvir.K féreg másolata
– a cikk írásának időpontjában az ominózus website nem volt elérhető
– létrehozza a Program Files mappában található MSS könyvtárban a sex.exe és az own.exe file-okat; az előbbi a féreg MSN Messengeren keresztüli üzenetküldő komponense, míg az utóbbi állomány a Sypbot féreg egyik változata
– felmásolja magát a System könyvtárba msnmgsr.exe néven, melynek rejtett, csak olvasható és rendszer attributumot állít be
– hozzáadja a Microsoft System Services=msnmgsr.exe bejegyzést az alábbi Registry alkulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– megkísérel különböző, már ismert Windows-os sebezhetőségek révén terjedni; a következők kiaknázásához “ért”:
• DCOM RPC sérülékenység
• Windows Local Security Authority Service Remote Buffer Overflow sebezhetőség
• Workstation Service Buffer Overrun sérülékenység
– megkísérli felmérni a helyi hálózatot használókat, hogy tovább szaporítsa magát
– mivel a rendszeren hátsó kaput nyithat, a következő dolgok valósíthatók meg a féreg révén:
• játékok CD-kulcsainak ellopása
• process-ek és service-ok leállítása
• billentyű-leütést figyelő program telepítése
• a fertőzött PC relay- vagy proxy szerverként való használata
• floodolás