Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Bagle.M féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Beagle
Win32:Beagle-N
|
AVG
|
I-Worm/Bagle.N
|
BitDefender
|
Win32.Bagle.M
Win32.Bagle.M@mm
|
e-Trust
|
Win32/Bagle.N
|
F-PROT
|
W32/Bagle.N
W32/Bagle.N@mm
|
F-Secure
|
Email-Worm.Win32.Bagle.n
|
Ikarus
|
Email-Worm.Win32.Bagle.N
|
Kaspersky
|
Email-Worm.Win32.Bagle.n
|
McAfee
|
W32/Bagle.n(Virus)
W32/Bagle.n@MM(Virus)
|
Microsoft
|
Win32/Bagle.O@mm
Win32/Bagle.O@mm.dr
|
NOD32 (ESET)
|
Win32/Bagle.M
|
Panda
|
W32/Bagle.N.worm
|
Rising Antivirus
|
Win32.Bagle.a
Worm.Mail.Bagle.lp
|
Sophos
|
W32/Bagle-N
|
Trend Micro
|
PE_BAGLE.N
PE_BAGLE.N-O
|
VirusBuster
|
I-Worm.Bagle.N
Win32.Bagle.N
|
Telepítés:
|
A féreg
az alábbi fájlokat hozza létre:
A Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32):
- winupd.exe
- winupd.exeopen
- winupd.exeopenopen
- winupd.exeopenopenopen
- winupd.exe
- winupd.exeopen
- winupd.exeopenopen
- winupd.exeopenopenopen
A megosztott mappákban:
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
-
teljes lista...
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack, Keygen.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Opera 8 New!.exe
- Porno Screensaver.scr
- Porno pics arhive, xxx.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Serials.txt.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
-
vissza...
|
A féreg
kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:
|
A Win32/Bagle.M féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "winupd.exe"="C:\WINDOWS\System32\winupd.exe"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "winupd.exe"="C:\WINDOWS\System32\winupd.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "winupd.exe"="C:\WINDOWS\System32\winupd.exe"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "winupd.exe"="C:\WINDOWS\System32\winupd.exe"
A Win32/Bagle.M féreg
a rendszerleíró adatbázisba az alábbi helyeken véletlenszerű tartalommal hoz létre bejegyzéseket:
- [HKEY_CURRENT_USER\Software\winupd]
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\winupd]
- [HKEY_CURRENT_USER\Software\winupd]
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\winupd]
A Win32/Bagle.M féreg
a rendszerleíró adatbázisból az alábbi bejegyzéseket törli:
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9XHtProtect
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9XHtProtect
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antivirus
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antivirus
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HtProtect
-
teljes lista...
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9XHtProtect
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9XHtProtect
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antivirus
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antivirus
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HtProtect
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HtProtect
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ICQ Net
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ICQ Net
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\My AV
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\My AV
-
vissza...
|
A Win32/Bagle.M féreg
leállítja az alábbi folyamatokat:
- au.exe
- d3dupdate.exe
- AVprotect9x.exe
- AGENTSVR.EXE
- ANTI-TROJAN.EXE
-
teljes lista...
E-mail üzenetek
A Win32/Bagle.M féreg
a terjedése érdekében ANSI formátumú e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Bagle.M féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- wab
- txt
- msg
- htm
- shtm
- stm
- xml
- dbx
- mbx
- mdx
- eml
- nch
- mmf
- ods
- cfg
- asp
- php
- pl
- wsh
- adb
- tbb
- sht
- xls
- oft
- uin
- cgi
- mht
- dhtm
- jsp
-
vissza...
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját több módszerrel állíthatja össze. A lehetőségek az alábbiak:
A feladó e-mail címében szereplő felhasználó nevét választhatja az alábbiak közül:
- administration
- management
- noreply
- staff
- support
- administration
- management
- noreply
- staff
- support
Összegyüjtheti a levél feladóját a megtámadott számítógépről, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- @hotmail.com
- @msn
- @microsoft
- anyone@
- bugs@
- contract@
- feste
- gold-certs@
- help@
- info@
- nobody@
- noone@
- rating@
- kasp
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- samples
- sopho
- @foo
- @iana
- free-av
- @messagelab
- winzip
- google
- winrar
- abuse
- panda
- cafee
- spam
- pgp
- @avp.
- noreply
- local
- root@
- postmaster@
- f-secur
-
vissza...
|
Tárgy |
A levél lehetséges tárgyai:
- Account notify
- E-mail account disabling warning.
- E-mail account security warning.
- E-mail technical support message.
- E-mail technical support warning.
-
teljes lista...
- Account notify
- E-mail account disabling warning.
- E-mail account security warning.
- E-mail technical support message.
- E-mail technical support warning.
- E-mail warning
- Email account utilization warning.
- Email report
- Encrypted document
- Fax Message Received
- Forum notify
- Hidden message
- Important notify
- Important notify about your e-mail account.
- Incoming message
- Notify about using the e-mail account.
- Notify about your e-mail account utilization.
- Notify from e-mail technical support.
- Protected message
- RE: Protected message
- RE: Text message
- Re: Document
- Re: Hello
- Re: Hi
- Re: Incoming Fax
- Re: Incoming Message
- Re: Msg reply
- Re: Thank you!
- Re: Thanks :)
- Re: Yahoo!
- Request response
- Site changes
- Warning about your e-mail account.
-
vissza...
|
Melléklet |
A féreg
által elküldött e-mail lehetséges mellékletei:
- Attach.pif
- Details.pif
- Document.pif
- Encrypted.pif
- Gift.pif
- Info.pif
- Information.pif
- Message.pif
- MoreInfo.pif
- Readme.pif
- Text.pif
- TextDocument.pif
- details.pif
- first_part.pif
- pub_document.pif
- text_document.pif
-
vissza...
|
|
Hátsóajtó
A Win32/Bagle.M féreg
a TCP
2556
porton nyit hátsóajtót.
Egyebek
A Win32/Bagle.M féreg
programkódjában szereplő, de soha meg nem jelenő kép(ek):