Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Bagle.I féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Beagle-I
|
AVG
|
I-Worm/Bagle.I
|
BitDefender
|
Win32.Bagle.I@mm
|
e-Trust
|
Win32/Bagle.I
|
F-PROT
|
W32/Bagle.I@mm
|
F-Secure
|
Email-Worm.Win32.Bagle.h
|
Ikarus
|
Email-Worm.Win32.Bagle.I
|
Kaspersky
|
Email-Worm.Win32.Bagle.h
|
McAfee
|
W32/Bagle.i(Virus)
|
Microsoft
|
Win32/Bagle.I@mm
|
NOD32 (ESET)
|
Win32/Bagle.I
|
Panda
|
W32/Bagle.I.worm
|
Rising Antivirus
|
Worm.Mail.Bagle.lj
|
Sophos
|
W32/Bagle-I
|
Trend Micro
|
WORM_BAGLE.GEN
|
VirusBuster
|
I-Worm.Bagle.I
|
Telepítés:
Az aktivizálódást követően a Win32/Bagle.I féreg
megpróbálja elindítani a(z)
notepad.exe
programot.
|
A féreg
az alábbi fájlokat hozza létre:
A Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32):
- i11r54n4.exe
- i11r54n4.exeopen
- i1i5n1j4.exe
- go154o.exe
- i11r54n4.exe
- i11r54n4.exeopen
- i1i5n1j4.exe
- go154o.exe
A megosztott mappákban:
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
-
teljes lista...
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack, Keygen.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Opera 8 New!.exe
- Porno Screensaver.scr
- Porno pics arhive, xxx.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Serials.txt.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
-
vissza...
|
A féreg
kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:
|
A Win32/Bagle.I féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "rate.exe"="C:\WINDOWS\System32\i11r54n4.exe"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "rate.exe"="C:\WINDOWS\System32\i11r54n4.exe"
- [HKEY_CURRENT_USER\Software\windor] "var"=0x00000001
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\windor] "var"=0x00000001
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "rate.exe"="C:\WINDOWS\System32\i11r54n4.exe"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "rate.exe"="C:\WINDOWS\System32\i11r54n4.exe"
- [HKEY_CURRENT_USER\Software\windor] "var"=0x00000001
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\windor] "var"=0x00000001
|
A Win32/Bagle.I féreg
imain_mutex
néven hoz létre mutexet.
A Win32/Bagle.I féreg
leállítja az alábbi folyamatokat:
- ATUPDATER.EXE
- AVWUPD32.EXE
- AVPUPD.EXE
- LUALL.EXE
- DRWEBUPW.EXE
-
teljes lista...
- ATUPDATER.EXE
- AVWUPD32.EXE
- AVPUPD.EXE
- LUALL.EXE
- DRWEBUPW.EXE
- ICSSUPPNT.EXE
- ICSUPP95.EXE
- UPDATE.EXE
- NUPGRADE.EXE
- ATUPDATER.EXE
- AUPDATE.EXE
- AUTODOWN.EXE
- AUTOTRACE.EXE
- AUTOUPDATE.EXE
- AVXQUAR.EXE
- CFIAUDIT.EXE
- MCUPDATE.EXE
- NUPGRADE.EXE
- OUTPOST.EXE
- AVLTMAIN.EXE
-
vissza...
E-mail üzenetek
A Win32/Bagle.I féreg
a terjedése érdekében ANSI formátumú e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Bagle.I féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- wab
- vbs
- rtf
- txt
- doc
- html
- shtml
- msg
- htm
- xml
- dbx
- mdx
- eml
- nch
- mmf
- ods
- cfg
- asp
- php
- pl
- adb
- tbb
- sht
-
vissza...
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- @hotmail.com
- @msn.com
- @microsoft
- @avp.
- noreply
- local
- root@
- postmaster@
-
vissza...
|
Tárgy |
A levél lehetséges tárgyai:
- :)
- :-)
- Hey, dude, it's me ^_^ :P
- Hey, ya! =))
- Hi
- Hi! :-)
- Weah, hello! :-)
- Weeeeee! ;)))
- ^_^ meay-meay!
- ^_^ mew-mew (-:
- ello! =))
- meay-meay!
-
vissza...
|
Melléklet |
A féreg
által elküldött e-mail lehetséges mellékletei:
- Attach.zip
- AttachedDocument.zip
- AttachedFile.zip
- Document.zip
- Info.zip
-
teljes lista...
- Attach.zip
- AttachedDocument.zip
- AttachedFile.zip
- Document.zip
- Info.zip
- Letter.zip
- Message.zip
- MoreInfo.zip
- Msg.zip
- MsgInfo.zip
- Readme.zip
- Text.zip
- TextDocument.zip
- TextFile.zip
-
vissza...
Az e-mail melléklete titkosított. A jelszó a levéltörzsben megtalálható.
|
|
Támadás az interneten
A féreg
az alábbi webcímekről kódot tölt le és hajt végre:
- http://postertog.de/scr.php
- http://www.gfotxt.net/scr.php
- http://www.maiklibis.de/scr.php
- http://postertog.de/scr.php
- http://www.gfotxt.net/scr.php
- http://www.maiklibis.de/scr.php
Hátsóajtó
A Win32/Bagle.I féreg
a TCP
2745
porton nyit hátsóajtót.