Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Mydoom.AT féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Atak-C-FSG
|
AVG
|
I-Worm/Atak.D
|
BitDefender
|
Win32.Atak.F@mm
|
e-Trust
|
Win32/Atak.E
|
F-PROT
|
W32/Atak.F@mm
|
F-Secure
|
Email-Worm.Win32.Atak.e
|
Ikarus
|
Email-Worm.Win32.Atak.E
|
Kaspersky
|
Email-Worm.Win32.Atak.e
|
McAfee
|
W32/Atak.f@MM(Virus)
|
Microsoft
|
Win32/Atak.E@mm
|
NOD32 (ESET)
|
Win32/Mydoom.AT
|
Norton Antivirus
|
W32.Atak@mm
|
Panda
|
W32/Atak.F.worm
|
Rising Antivirus
|
Worm.Atak.e
|
Sophos
|
W32/Atak-F
|
Trend Micro
|
WORM_ATAK.GEN
|
VirusBuster
|
I-Worm.Atak.I
|
Telepítés:
|
A Win32/Mydoom.AT féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) véletlenszerűen generált névvel fájl(oka)t hoz létre, melyeknek kiterjesztése
.exe.
|
|
A Win32/Mydoom.AT féreg
a rendszerleíró adatbázisba az alábbi helyeken hoz létre bejegyzéseket, melyeket kiegészít a létrehozott .exe fájlok nevével:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows]
- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
- [HKEY_USERS\S-1-5-21-1060284298-1770027372-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows]
|
A Win32/Mydoom.AT féreg
a C:\Windows\Win.ini fájl [windows] szekciójába az alábbi bejegyzéseket teszi:
[windows]
load=c:\windows\system32\<random>.exe
A Win32/Mydoom.AT féreg
mtxV1.2b
néven hoz létre mutexet.
E-mail üzenetek
A Win32/Mydoom.AT féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Mydoom.AT féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- log
- html
- msg
- eml
- mht
- dbx
- asp
- php
- jsp
- htm
- txt
-
vissza...
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját több módszerrel állíthatja össze. A lehetőségek az alábbiak:
A feladó e-mail címében szereplő felhasználó nevét választhatja az alábbiak közül:
- admin
- austria
- cogswell
- exp2000
- fararcbugs
- farbugs
- help
- helpdesk
- hotline
- hsseo
- inet
- info
- infoline
- jourim
- licensing
- msoe
- mssupport
- mts
- plugring
- provisionalex
- rar
- ron
- sales
- support
- vmlich
- winrar
-
vissza...
Összegyüjtheti a levél feladóját a megtámadott számítógépről, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Tárgy |
A levél tárgyát több részből állítja össze. Ekkor az egyes részek a következők:
A levél tárgyának első része az alábbiak egyike:
- GET
- Get
- HAVE A
- Have a
- MAKE
- Make
- STAY
- Stay
- TRUE
- True
-
vissza...
A levél tárgyának második része az alábbiak egyike:
A levél tárgyának harmadik része az alábbiak egyike:
- AND GET MONEY
- FOR FUN
- HUMAN SPIRIT
- NOT WARS
- NOT SPAM
- TO OTHER
- WILL FREEDOM
- WITH ME
- and get money
- for fun
- human spirit
- Not wars
- Not spam
- to other
- will freedom
- with me
-
vissza...
A levél tárgyának következő része az alábbiak egyike:
|
Melléklet |
A féreg
által elküldött e-mail lehetséges mellékletei:
- note.zip
- part001.zip
- print.zip
- separate_file.zip
- textfile.zip
- white_paper.zip
- note.zip
- part001.zip
- print.zip
- separate_file.zip
- textfile.zip
- white_paper.zip
|
|
Biztonsági rések, sérülékenységek
A Win32/Mydoom.AT féreg
a terjedése érdekében kihasználja a Microsoft MS01-020
jelű sérülékenységét.