Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Rbot.79872 féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Trojan-gen.
|
AVG
|
IRC/BackDoor.SdBot.MQD
|
BitDefender
|
Generic.Sdbot.B354ABFE
|
e-Trust
|
Win32/Mistrom.A
|
F-PROT
|
{no
|
F-Secure
|
Backdoor.Win32.SdBot.afz
|
Ikarus
|
Backdoor.Win32.SdBot.afz
|
Kaspersky
|
Backdoor.Win32.SdBot.afz
|
McAfee
|
W32/Sdbot.worm.gen.by(Virus)
|
Microsoft
|
Win32/Rbot
|
Norton Antivirus
|
W32.IRCBot.Gen
|
Panda
|
W32/Oscarbot.CT.worm
|
Rising Antivirus
|
Backdoor.SdBot.avj
|
Sophos
|
W32/Sdbot-AEU
|
Trend Micro
|
IRC_Generic
|
VirusBuster
|
Worm.SdBot.BND
|
Wildlist
|
W32/Rbot!ITW#1729
|
Telepítés:
A Win32/Rbot.79872 féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
a(z)
sysdrivers\smss.exe
nevű fájlt.
|
A Win32/Rbot.79872 féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] "PK Guard 32"="C:\WINDOWS\system32\sysdrivers\smss.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "PK Guard 32"="C:\WINDOWS\system32\sysdrivers\smss.exe"
- [HKLM\SYSTEM\CurrentControlSet\Services\Schedule] "Start"="4"
- [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv] "Start"="4"
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess] "Start"="4"
-
teljes lista...
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] "PK Guard 32"="C:\WINDOWS\system32\sysdrivers\smss.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "PK Guard 32"="C:\WINDOWS\system32\sysdrivers\smss.exe"
- [HKLM\SYSTEM\CurrentControlSet\Services\Schedule] "Start"="4"
- [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv] "Start"="4"
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess] "Start"="4"
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"="2"
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"="0"
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"="0"
- [HKLM\SOFTWARE\Microsoft\Ole] "EnableDCOM"="N"
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe C:\WINDOWS\system32\sysdrivers\smss.exe"
- [HKLM\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"="1"
-
vissza...
|
Biztonsági rések, sérülékenységek
A Win32/Rbot.79872 féreg
a terjedése érdekében kihasználja a Microsoft MS05-039
jelű sérülékenységét.
A Win32/Rbot.79872 féreg
a terjedése érdekében kihasználja a Microsoft MS04-007
jelű sérülékenységét.
A Win32/Rbot.79872 féreg
az alábbi IRC szerverekhez csatlakozik:
- im.ch0w.biz
- lolattack.kicks-ass.net
- im.ch0w.biz
- lolattack.kicks-ass.net