Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Bagle.A féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Beagle
|
AVG
|
I-Worm/Bagle.A
|
BitDefender
|
Win32.Bagle.A@mm
|
e-Trust
|
Win32/Bagle.A
|
F-PROT
|
W32/Bagle.A@mm
|
F-Secure
|
Email-Worm.Win32.Bagle.a
|
Ikarus
|
Email-Worm.Win32.Bagle
|
Kaspersky
|
Email-Worm.Win32.Bagle.a
|
McAfee
|
W32/Bagle.a@MM(Virus)
|
Microsoft
|
Win32/Bagle.A@mm
Win32/Bagle.C@mm
|
NOD32 (ESET)
|
Win32/Bagle.A
|
Norton Antivirus
|
W32.Beagle.gen
|
Panda
|
W32/Bagle.A.worm
|
Rising Antivirus
|
Worm.Mail.Bagle.bb
Worm.Mail.Bagle.is
|
Sophos
|
W32/Bagle-A
|
Trend Micro
|
WORM_BAGLE.FA
WORM_BAGLE.GEN
|
VirusBuster
|
I-Worm.Bagle.A
|
Telepítés:
Az aktivizálódást követően a Win32/Bagle.A féreg
megpróbálja elindítani a(z)
calc.exe
programot.
|
A Win32/Bagle.A féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
az alábbi fájlokat:
|
A féreg
kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:
|
A Win32/Bagle.A féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "d3dupdate.exe"="C:\WINDOWS\System32\bbeagle.exe"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "d3dupdate.exe"="C:\WINDOWS\System32\bbeagle.exe"
- [HKEY_CURRENT_USER\Software\Windows98] "frun"="0x00000001"
- [HKEY_CURRENT_USER\Software\Windows98] "uid"="53634934"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "d3dupdate.exe"="C:\WINDOWS\System32\bbeagle.exe"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "d3dupdate.exe"="C:\WINDOWS\System32\bbeagle.exe"
- [HKEY_CURRENT_USER\Software\Windows98] "frun"="0x00000001"
- [HKEY_CURRENT_USER\Software\Windows98] "uid"="53634934"
|
E-mail üzenetek
A Win32/Bagle.A féreg
a terjedése érdekében ANSI formátumú e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Bagle.A féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- .r1
- @hotmail.com
- @msn.com
- @microsoft
- @avp.
- .r1
- @hotmail.com
- @msn.com
- @microsoft
- @avp.
|
Tárgy |
A levél lehetséges tárgya:
Hi
|
Melléklet |
A féreg
által elküldött e-mail mellékletének nevét véletlenszerű karakterekből állítja össze.
A féreg
által elküldött e-mailben
exe
a melléklet kiterjesztése.
|
|
A fertőzött mellékletek ikonja (vigyázat: néhány levelező kliens NEM mutatja meg a melléklet ikonját):
Támadás az interneten
A féreg
megkísérel az alábbi webcímekre csatlakozni:
- http://www.elrasshop.de/1.php
- http://www.it-msc.de/1.php
- http://www.getyourfree.net/1.php
- http://www.dmdesign.de/1.php
- http://64.176.228.13/1.php
-
teljes lista...
- http://www.elrasshop.de/1.php
- http://www.it-msc.de/1.php
- http://www.getyourfree.net/1.php
- http://www.dmdesign.de/1.php
- http://64.176.228.13/1.php
- http://www.leonzernitsky.com/1.php
- http://216.98.136.248/1.php
- http://216.98.134.247/1.php
- http://www.cdromca.com/1.php
- http://www.kunst-in-templin.de/1.php
- http://vipweb.ru/1.php
- http://antol-co.ru/1.php
- http://www.bags-dostavka.mags.ru/1.php
- http://www.5x12.ru/1.php
- http://bose-audio.net/1.php
- http://www.sttngdata.de/1.php
- http://wh9.tu-dresden.de/1.php
- http://www.micronuke.net/1.php
- http://www.stadthagen.org/1.php
- http://www.beasty-cars.de/1.php
- http://www.polohexe.de/1.php
- http://www.bino88.de/1.php
- http://www.grefrathpaenz.de/1.php
- http://www.bhamidy.de/1.php
- http://www.mystic-vws.de/1.php
- http://www.auto-hobby-essen.de/1.php
- http://www.polozicke.de/1.php
- http://www.twr-music.de/1.php
- http://www.sc-erbendorf.de/1.php
- http://www.montania.de/1.php
- http://www.medi-martin.de/1.php
- http://vvcgn.de/1.php
- http://www.ballonfoto.com/1.php
- http://www.marder-gmbh.de/1.php
- http://www.dvd-filme.com/1.php
- http://www.smeangol.com/1.php
-
vissza...
A támadást
"10"
percenként ismét végrehajtja.
Hátsóajtó
A Win32/Bagle.A féreg
a(z)
6777
. porton nyit hátsóajtót.