Feladó: hamis e-mailcím Tárgy: a következők egyike: - Hi! - hey! - [üres] - Confirmation Tárgy: két részből áll, a headerből a legkönnyebb felismerni, mely a következők egyike lehet: . X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis.org/) . X-AntiVirus: Checked by Dr.Web (http:/ /www.drweb.net) . X-AntiVirus: Checked for viruses by Gordano´s AntiVirus Software
A féreg paraméterei
Felfedezésének ideje: 2004. november 12. Utolsó frissítés ideje: 2004. november 13. Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3 Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2 Mérete: nem ismert Fertőzések száma: 0-49 Földrajzi elterjedtsége: alacsony Károkozás mértéke: kicsi Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
- létrehozza önmaga másolatát a System könyvtárban, mely file a következőképp néz ki: [véletlenszerű karakterek]32.exe - hozzáadja a Reactor9=[System elérési útvonala]/[véletlenszerű karakterek]32.exe bejegyzést a következő két Registry kulcs egyikéhez: . HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run . HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run - létrehozza a következő Registry bejegyzéseket: . HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComExplore/Version . HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ComExplore/Version - a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból letörli az alábbi értékeket: . center . reactor . Rhino . Reactor3 . Reactor4 . Reactor5 . Reactor6 . Reactor7 . Reactor8 - megkísérli saját kódját a Shell_TrayWnd ablakosztályú process-ekbe vagy a háttérben futó process-ekbe rögzíteni, ha sikerül, a féreg a megfertőzött process-eken belül fut tovább; így kvázi ˝láthatatlanná˝ válik a felhasználó számára - HTTP-szervert futtat a 1639-es TCP-porton - amikor a féreg egy olyan HTTP get kérelmet kap, ami nem tartalmazza a ˝reactor˝-t, elküldi saját shell kódját a távoli számítógépnek, ami tartalmazza IFRAME sebezhetőség kihasználásának módját; ez utóbbi PC lefuttatja azt, majd küld egy olyan HTTP get kérelmet, ami tartalmazza a ˝reactor˝ szót a parancsban - ha a féreg kap egy olyan HTTP get kérelmet, melynek parancsa tartalmazza a ˝reactor˝ sztringet, elküldi önmagát a get kérelmet küldő számítógép számára; az azon már futó shell kód pedig lefuttatja a férget - megkísérel IRC-szerverekhez csatlakozni a 6667-es TCP-porton át - e-mailcímeket gyűjt a Windows address bookjából és különböző file-okból (txt, htmb, shtl, phpq stb.) is - saját SMTP-motorja révén elküldi magát az összegyűjtött e-mailcímek majdnem mindegyikére (némely, a féreg alkotója által veszélyesnek ítélt címet kihagy)
- a féreg felfüggeszti működését, ha 2004. december 16-án vagy annál később futtatják le
AJÁNLOM AZ OLDALT
