Maga a féreg egyszerű – tömörítetlen „gyengén kódolt" állomány –, ennek ellenére a gépre kerülve a „gazda" irányításával számtalan károd funkciót képes végrehajtani. A neve karimát jelent. Ez még nem szokatlan, hanem van egy „gyerekes", érthetetlen funkciója: a játék CD-k kulcsait gyűjti és továbbítja.
Név: W32/Randex-G [Sophos]
Más nevek: W32/Randex.worm.c [McAfee], Backdoor.SdBot.gen [KAV]
W32.Randex.A, W32.Randex.B, W32.Randex.C, W32.Randex.D, W32.Randex.E, W32.Randex.F Worm.Randex.g, W95/Randex.J, W32/Sdbot.worm.gen.b, Win32/Randex.G, W32.Randex.C, WORM_RANDEX.F
Típus: Win32 PE exe féreg.
Mérete: 73728 byte – a féregfile nem tömörített, mindössze egy egyszerű cryptalgoritmussal titkosították.
Észlelés: 2003. 09. 26. (ez megelőzően már detektálták néhány variánsát)
Leírás:W32/Randex-G hálózati féreg, mely hátsóajtó" kialakítási képességekkel bír. Igy az IRC csatornákon keresztül a féreg küldője távolról képes vezérelni, általában olyan „sikerrel", hogy a gép irányítását is át tudja venni.
W32/Randex-G a hálózaton terjedve első futásakor bemásolja magát a Windows system32 gyenge, könnyen megfejthető jelszavakkal védett C$ és Admin$ alkönyvtáraiba ntd32.exe néven.
\ADMIN$\system32\netd32.exe \C$\WINNT\system32\netd32.exeAmikor a féreg program fut, megpróbálja a fertőzött rendszert egy jellegzetes, speciális IRC csatornára csatlakoztatni. A féregre jellemző, hogy a háttérben fut, mint egy szerverprogram, várva a „gazda" utasításait – általában azt, hogy melyik programot indítsa el.
Első alkalommal, amikor a fertőzés után a kódja fut, a következő bejegyzéseket teszi a rendszerleíró adatbázis kulcsaihoz, azzal a céllal, hogy biztosítsa azt, hogy minden Windows indításkor a féregprogram is fusson:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Network Daemon for Win32 = ntd32.exeHKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Network Daemon for Win32 = ntd32.exeA féregíró irányításával számtalan művelet végrehajtására képes, pl.:
Naplózza az IRC-n létrehozott bot adatait;
Képes összekötni, vagy szétkapcsolni IRC szervereket;
„Ellopja" az összeköttetés, ill. maga a rendszer fontos információit;
A „tulajdonos" által meghatározott fájlokat futtatja;
Képes SYN flood létrehozására;
Klónokat képes létrehozni;
Segítségével könnyen indítható DOS támadás;
Bevallom, számomra teljesen érthetetlen okból a
W32/Randex-G begyűjti, és elküldi a következő játékok CD kulcsait:Battlefield 1942
Battlefield 1942 The Road to Rome
Half-Life
Unreal Tournament 2003