9 lipca 2004

Worm.Win32.Lemoor.a - wykorzystuje błędy Sassera

Jest to robak rozprzestrzeniający się przez internet za pośrednictwem luki w serwerze FTP instalowanym przez szkodnika Worm.Win32.Sasser. Z tego względu infekcją zagrożone są wyłącznie komputery uprzednio zaatakowane przez Sassera.

Lemoor powstał przy użyciu języka programowania Assembler i ma rozmiar 1 935 bajtów (kompresja FSG, rozmiar po rozpakowaniu - 20 992 bajty).

Instalacja

Po uruchomieniu robak tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[Ephemeral 2.4] by TreeHugger, = %ścieżka_dostępu_do_pliku_robaka%

Rozprzestrzenianie

Szkodnik rozsyła w internecie żądania i oczekuje na odpowiedzi komputerów zainfekowanych robakiem Sasser.

Po otrzymaniu odpowiedzi robak wykorzystuje lukę w serwerze FTP instalowanym przez Sassera w celu uruchomienia własnego interpretera poleceń na losowym porcie. Następnie robak wysyła własny kod do atakowanego komputera i uruchamia go.

Informacje dodatkowe

Robak nie zawiera żadnych niebezpiecznych procedur. Jego działanie polega wyłącznie na rozprzestrzenianiu się.