Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Bagle.V féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Beagle-U
|
AVG
|
I-Worm/Bagle.V
|
BitDefender
|
Win32.Bagle.V@mm
|
e-Trust
|
Win32/Bagle.V
|
F-PROT
|
W32/Bagle.V@mm
|
F-Secure
|
Email-Worm.Win32.Bagle.t
|
Ikarus
|
Email-Worm.Win32.Bagle.T
|
Kaspersky
|
Email-Worm.Win32.Bagle.t
|
McAfee
|
W32/Bagle.u@MM(Virus)
|
Microsoft
|
Win32/Bagle.V@mm
|
NOD32 (ESET)
|
Win32/Bagle.V
|
Panda
|
W32/Bagle.U.worm
|
Rising Antivirus
|
Worm.Mail.Bagle.lx
|
Sophos
|
W32/Bagle-V
|
Trend Micro
|
WORM_BAGLE.V
|
VirusBuster
|
I-Worm.Bagle.V
|
Telepítés:
|
A Win32/Bagle.V féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
az alábbi fájlokat:
|
A féreg
kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:
|
A Win32/Bagle.V féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "sysinfo.exe"="C:\WINDOWS\System32\sysinfo.exe"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "sysinfo.exe"="C:\WINDOWS\System32\sysinfo.exe"
- [HKEY_CURRENT_USER\Software\Windows2005] "fr1n"=0x00000001
- [HKEY_CURRENT_USER\Software\Windows2005] "gsed"="47393816"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Windows2005] "fr1n"=0x00000001
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Windows2005] "gsed"="47393816"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "sysinfo.exe"="C:\WINDOWS\System32\sysinfo.exe"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "sysinfo.exe"="C:\WINDOWS\System32\sysinfo.exe"
- [HKEY_CURRENT_USER\Software\Windows2005] "fr1n"=0x00000001
- [HKEY_CURRENT_USER\Software\Windows2005] "gsed"="47393816"
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Windows2005] "fr1n"=0x00000001
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Windows2005] "gsed"="47393816"
|
E-mail üzenetek
A Win32/Bagle.V féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Bagle.V féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- wab
- txt
- msg
- htm
- shtm
- stm
- xml
- dbx
- mbx
- mdx
- eml
- nch
- mmf
- ods
- cfg
- asp
- php
- pl
- wsh
- adb
- tbb
- sht
- xls
- oft
- uin
- cgi
- mht
- dhtm
- jsp
-
vissza...
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
|
Melléklet |
A féreg
által küldött e-mail üzenet melléklete
game.exe
.
|
|
A fertőzött mellékletek ikonja (vigyázat: néhány levelező kliens NEM mutatja meg a melléklet ikonját):
Támadás az interneten
A féreg
a(z)
http://www.werde.de/5.php
webcímről kódot tölt le és hajt végre.
A támadást
"2"
másodpercenként ismét végrehajtja.
Hátsóajtó
A Win32/Bagle.V féreg
a TCP
4751
porton nyit hátsóajtót.