Robak ten rozprzestrzenia się za pośrednictwem sieci lokalnych oraz przenośnych nośników danych. Ma postać pliku PE DLL. Komponenty robaka mają rozmiar od 155KB do 165KB. Szkodnik został spakowany z pomocą UPX.

Instalacja

Robak kopiuje swój plik wykonywalny do katalogu systemu Windows w następujący sposób:

%System%(rnd).dll 
(rnd) jest ciÄ…giem losowych symboli 

Robak tworzy usługę w celu zapewnienia sobie uruchamiania się wraz z każdym startem systemu Windows na zainfekowanym komputerze. Tworzony jest następujący klucz rejestru:

[HKLMSYSTEMCurrentControlSetServices etsvcs]

Robak modyfikuje również następującą wartość klucza rejestru:

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost]
"netsvcs" = "(oryginalna wartość) %System%(rnd).dll"

Rozprzestrzenianie za pośrednictwem sieci

Podczas infekowania komputera robak uruchamia serwer HTTP na losowo wybranym porcie TCP. Jest on następnie wykorzystywany do załadowania pliku wykonywalnego robaka na innych komputerach.

Robak uzyskuje adres IP komputerów znajdujących się w tej samej sieci co zaatakowana maszyna i atakuje je za pośrednictwem luki przepełnienia buforu w usłudze Server (więcej informacji o tej luce można znaleźć na stronie Microsoftu: www.microsoft.com).

Robak wysyła do zdalnych maszyn specjalnie utworzone zapytanie RPC, które powoduje przepełnienie bufora, gdy zostanie wywołana funkcja wcscpy_s w netapi32.dll. Powoduje to uruchomienie kodu, który pobiera plik robaka, uruchamia i instaluje go na nowej maszynie ofiary.

Aby wykorzystać opisaną wyżej lukę, robak próbuje połączyć się z kontem administratora na zdalnej maszynie. Robak wykorzystuje następujące hasła w celu przeprowadzenia ataku typu "brute force" na konto:

99999999 9999999 999999 99999 9999 999 99 9 88888888 8888888 888888 88888 8888 888 88 8 77777777 7777777 777777 77777 7777 777 77 7 66666666 6666666 666666 66666 6666 666 66 6 55555555 5555555 555555 55555 5555 555 55 5 44444444 4444444 444444 44444 4444 444 44 4 33333333 3333333 333333 33333 3333 333 33 3 22222222 2222222 222222 22222 2222 222 22 2 11111111 1111111 111111 11111 1111 111 11 1 00000000 0000000 00000 0000 000 00 0987654321 987654321 87654321 7654321 654321 54321 4321 321 21 12 super secret server computer owner backup database lotus oracle business manager temporary ihavenopass nothing nopassword nopass Internet internet example sample love123 boss123 work123 home123 mypc123 temp123 test123 qwe123 abc123 pw123 root123 pass123 pass12 pass1 admin123 admin12 admin1 password123 password12 password1 default foobar foofoo temptemp temp testtest test rootroot root

fuck zzzzz zzzz zzz xxxxx xxxx xxx qqqqq qqqq qqq aaaaa aaaa aaa sql file web foo job home work intranet controller killer games private market coffee cookie forever freedom student account academia files windows monitor unknown anything letitbe letmein domain access money campus explorer exchange customer cluster nobody codeword codename changeme desktop security secure public system shadow office supervisor superuser share adminadmin mypassword mypass pass Login login Password password passwd zxcvbn zxcvb zxccxz zxcxz qazwsxedc qazwsx q1w2e3 qweasdzxc asdfgh asdzxc asddsa asdsa qweasd qwerty qweewq qwewq nimda administrator Admin admin a1b2c3 1q2w3e 1234qwer 1234abcd 123asd 123qwe 123abc 123321 12321 123123 1234567890 123456789 12345678 1234567 123456 12345 1234 123

Rozprzestrzenianie za pośrednictwem przenośnych nośników danych

Robak kopiuje swój plik wykonywalny w następujący sposób:

(X):RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665(rnd).vmx rnd jest
 
ciągiem losowych symboli pisanych małą literą; X jest dyskiem.

Robak umieszcza również następujący plik w katalogu głównym każdego dysku:

(X):autorun.inf

Dzięki temu plik wykonywalny robaka będzie uruchamiany za każdym razem, gdy użytkownik otworzy zainfekowany dysk przy pomocy Windows Explorera.

Funkcje szkodnika

Podczas uruchamiania robak wstrzykuje swój kod do przestrzeni adresowej jednego z procesów systemowych “svchost.exe”. Kod ten jest odpowiedzialny za funkcje szkodliwe robaka obejmujÄ…ce:

• wyÅ‚Ä…czanie przywracania systemu
• blokowanie adresów zawierajÄ…cych nastÄ™pujÄ…ce ciÄ…gi:

  indowsupdate
  wilderssecurity
  threatexpert
  castlecops
  spamhaus
  cpsecure
  arcabit
  emsisoft
  sunbelt
  securecomputing
  rising
  prevx
  pctools
  norman
  k7computing
  ikarus
  hauri
  hacksoft
  gdata
  fortinet
  ewido
  clamav
  comodo
  quickheal
  avira
  avast
  esafe
  ahnlab
  centralcommand
  drweb
  grisoft
  eset
  nod32
  f-prot
  jotti
  kaspersky
  f-secure
  computerassociates
  networkassociates
  etrust
  panda
  sophos
  trendmicro
  mcafee
  norton
  symantec
  microsoft
  defender
  rootkit
  malware
  spyware
  virus
  

Robak pobiera również plik z poniższego odsyłacza:

http://trafficconverter.biz/*****/antispyware/loadadv.exe

Plik jest zapisywany w katalogu głównym systemu Windows, a następnie uruchamiany w celu wykonania. Odsyłacz ten nie był aktywny w momencie tworzenia tego opisu.

Robak może również pobierać pliki z odsyłaczy poniższego typu:

http:///search?q=<%rnd2%> 

rnd2 jest losowo wybraną liczbą. URL jest odsyłaczem utworzonym za pomocą specjalnego algorytmu, który wykorzystuje aktualną datę. Robak uzyskuje aktualną datę z jednej z wymienionych niżej stron:

http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com

Pobrane przez robaka pliki są zapisywane w katalogu głównym systemu Windows z ich pierwotnymi nazwami.

Usuwanie szkodnika z zainfekowanego systemu

Jeśli oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z żadnego rozwiązania antywirusowego, możesz skorzystać ze specjalnego narzędzia do usuwania lub wykonać następujące operacje:

1. Usuń poniższy klucz rejestru systemowego:

   [HKLMSYSTEMCurrentControlSetServices etsvcs]

2. Usuń "%System%(rnd).dll" z poniższego parametru klucza rejestru systemowego:

   [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"

3. Uruchom ponownie swój komputer
4. Usuń oryginalny plik robaka (lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera).
5. Usuń poniższy plik:

   %System%(rnd).dll
   (rnd) jest ciÄ…giem losowych symboli 
   

6. Usuń poniższe pliki ze wszystkich przenośnych nośników danych:

   (X):autorun.inf :RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665(rnd).vmx rnd
    
   jest ciągiem losowych symboli pisanych małą literą; X jest dyskiem. 
   

7. Pobierz i zainstaluj aktualizacje dla systemu operacyjnego pod poniższym adresem:

   http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
   

8. Uaktualnij sygnatury zagrożeń i wykonaj pełne skanowanie komputera (w tym celu można pobrać darmową wersję testową oprogramowania Kaspersky Anti-Virus).