A féreg paraméterei

Felfedezésének ideje: 2004. január 29.
Utolsó frissítés ideje: 2004. január 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 53.224 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepőesen nehéz


Aktiválódása esetén lezajló események

- hozzáadja az Osa32=NTOSA32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
- létrehozza a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/dfcsvc Registry kulcsot a következő bejegyzésekkel és értékekkel:
. DependOnGroup=0x0
. DependOnService=RpcSS
. DisplayName=Distributed File Controller
. Error Control=0x0
. ImagePath=NTOSA32.exe /dfcsvc
. ObjectName=LocalSystem
. Start=0x2
. Type=0x110
- a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcsban a következő értékeket rögzíti: Ram32Data, Ram32ID, Ram32Group
- felméri a hálózati erőforrásokat, majd megkísérel a távoli számítógépekre adminként becsatlakozni; amennyiben ez sikerrel jár, a féreg bemásolja a következő file-okat a távoli számítógépre:
//[távoli számítógép]/ADMIN$/SYSTEM32/NTOSA32.exe
//[távoli számítógép]/ADMIN$/SYSTEM32/NTGina.dll
- ha a fenti művelet sikeresen lezajlott, akkor hozzáadja a GinaDll=ntgina.dll bejegyzést a távoli számítógép rendszerleíró adatbázisának alábbi kulcsához:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
- ezen módosítás révén a féreg képessé válik minden sikeres felhasználói név és jelszó megszerzésére, ha valaki bejelentkezik a kiszolgáltatott rendszerbe (ezen adatokat egyébként a System könyvtárban levő NTKBH32.dll file-ban tárolja)
- megnyitja az 5190-es TCP portot és alkotójától érkező parancsokra vár
- ICQ-n keresztül is visszacsatlakozhat a hackerhez



Kapcsolódó linkek: