Robak po udanym ataku instaluje się w systemie pod nazwą "ccSetMngr.exe". Następnie otwiera tylną furtkę na portach 36010/TCP i 37264/TCP oraz dodaje następujący wpis do rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run\nortonsantivirus
Tylna furtka wykorzystywana jest do kontroli nad komputerami (połączonymi w botnet) za pośrednictwem IRC.
Pomimo relatywnie małej ilości komputerów podatnych na tego robaka (z działającym serwerem WINS), przypominamy o konieczności uaktualnienia posiadanego oprogramowania.
Dodatkowe informacje o robaku na stronach firmy Sophos.
Źródło informacji: CERT Polska
Źródło:
