Вирус-червь.
Распространяется по глобальным сетям, используя для своего
размножения уязвимость в службе LSASS Microsoft Windows. Ее описание
приведено в Microsoft Security Bulletin MS04-011:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.
Размножение
При запуске червь регистрирует себя в ключе автозапуска системного
реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных
уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает
командную оболочку "cmd.exe" и принимает команду на загрузку и запуск
копии червя.
Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554
и по запросу с уязвимого компьютера загружает туда свою копию.
Загруженная копия имеет имя "N_up.exe", где N -
случайное число.
