A Rinbot.H féreg hálózati megosztásokon keresztül, illetve különböző szoftveres sebezhetőségek révén terjed, és a fertőzött számítógépeket teljes mértékben kiszolgáltatottá teszi a támadásokkal szemben.
A Rinbot.H féreg az IPC$ nevű megosztáson keresztül, előre meghatározott felhasználónevek és jelszavak segítségével próbál meg számítógépről számítógépre terjedni. A féreg a fertőzött számítógépeken véletlenszerűen kiválaszt egy TCP portot, amelyen keresztül folyamatosan figyeli a hálózati adatforgalmat. Emellett fogadja a támadók parancsait, akik az alábbi műveleteket hajthatják végre:
– Rendszerinformációk összegyűjtése
– Fájlok letöltése és futtatása
– HTTP/FTP szerver indítása
– a féreg frissítése
– CD kulcsok megszerzése
– Filemon, Regmon, Ethereal szoftverek felügyelete.
Amikor Rinbot.H féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%System%\mstscc.exe
2. Létrehozza a következő bejegyzést a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”Terminal Services” = “%System%\mstscc.exe”
3. A féreg megpróbál az IPC$ megosztáson keresztül terjedni. A megosztás eléréséhez előre meghatározott felhasználónevek és jelszavak közül válogat.
4. Egy véletlenszerűen kiválasztott TCP porton figyeli a hálózati forgalmat.
5. A 8080-as TCP porton keresztül kapcsolódik egy távoli szerverhez.
6. A féreg egy hátsó kapun keresztül fogadja a támadók parancsait:
7. Microsoft és Symantec termékekben található sebezhetőségeket igyekszik kihasználni.