Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Bagle.BR féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Beagle-CM
|
AVG
|
I-Worm/Bagle.JR
|
BitDefender
|
Win32.Bagle.BT@mm
|
e-Trust
|
Win32/Bagle.BP
|
F-PROT
|
W32/Bagle.CG@mm
|
F-Secure
|
Email-Worm.Win32.Bagle.bw
|
Ikarus
|
Email-Worm.Win32.Bagle.BW
|
Kaspersky
|
Email-Worm.Win32.Bagle.bw
|
McAfee
|
W32/Bagle.gen@MM(Virus)
|
Microsoft
|
Win32/Bagle.BS
|
NOD32 (ESET)
|
Win32/Bagle.BR
|
Panda
|
W32/Bagle.DO.worm!CM...
|
Rising Antivirus
|
Worm.Mail.Bagle.ag
|
Sophos
|
W32/Bagle-BW
|
Trend Micro
|
WORM_BAGLE.BM
|
VirusBuster
|
Trojan.PR.Mitglied.CH
|
Telepítés:
|
A Win32/Bagle.BR féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
a(z)
winhost.exe
nevű fájlt.
A Win32/Bagle.BR féreg
a megosztott mappákban létrehozza
az alábbi fájlokat:
- Ahead Nero 7.exe
- Kaspersky Antivirus 5.0
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack, Keygen.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
-
teljes lista...
- Ahead Nero 7.exe
- Kaspersky Antivirus 5.0
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack, Keygen.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- New document.doc .exe
- New patch.exe
- Porno Screensaver.scr
- Porno pics arhive, xxx.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Serials.txt .exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc .exe
- XXX hardcore images.exe
- hardcore arhive.exe
- important update.exe
- important.exe
- install.exe
- message.msg .exe
- patch.exe
- setup.exe
- text.txt .exe
- update.exe
-
vissza...
|
|
A Win32/Bagle.BR féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "winhost.exe"="C:\WINDOWS\System32\winhost.exe"
- [HKEY_CURRENT_USER\Software\Timeout] "uid"
- [HKEY_CURRENT_USER\Software\Timeout] "port"
- [HKEY_CURRENT_USER\Software\Timeout] "pid"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "winhost.exe"="C:\WINDOWS\System32\winhost.exe"
- [HKEY_CURRENT_USER\Software\Timeout] "uid"
- [HKEY_CURRENT_USER\Software\Timeout] "port"
- [HKEY_CURRENT_USER\Software\Timeout] "pid"
|
A Win32/Bagle.BR féreg
leállítja az alábbi folyamatokat:
- AGENTSVR.EXE
- ANTI-TROJAN.EXE
- ANTIVIRUS.EXE
- ANTS.EXE
- APIMONITOR.EXE
-
teljes lista...
E-mail üzenetek
A Win32/Bagle.BR féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Bagle.BR féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- .adb
- .asp
- .cfg
- .cgi
- .dbx
- .dhtm
- .eml
- .htm
- .html
- .jsp
- .mbx
- .mdx
- .mht
- .mmf
- .msg
- .nch
- .ods
- .oft
- .php
- .pl
- .sht
- .shtm
- .stm
- .tbb
- .txt
- .uin
- .wab
- .wsh
- .xls
- .xml
-
vissza...
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- @avp.
- @foo
- @iana
- @messagelab
- @microsoft
- @msn
- abuse
- admin
- anyone@
- bsd
- bugs@
- cafee
- certific
- contract@
- feste
- free-av
- f-secur
- gold-certs@
- google
- help@
- icrosoft
- info@
- kasp
- linux
- listserv
- local
- news
- nobody@
- noone@
- noreply
- norton
- ntivi
- panda
- pgp
- postmaster@
- rating@
- root@
- samples
- sopho
- spam
- support
- unix
- update
- virus
- winrar
- winzip
-
vissza...
|
Tárgy |
A levél lehetséges tárgyai:
- Changes..
- Encrypted document
- Fax Message
- Forum notify
- Incoming message
-
teljes lista...
- Changes..
- Encrypted document
- Fax Message
- Forum notify
- Incoming message
- Notification
- Protected message
- Re:
- Re: Document
- Re: Hello
- Re: Hi
- Re: Incoming Message
- RE: Incoming Msg
- RE: Message Notify
- Re: Msg reply
- RE: Protected message
- RE: Text message
- Re: Thank you!
- Re: Thanks :)
- Re: Yahoo!
- Site changes
- Update
-
vissza...
|
Melléklet |
A féreg
által elküldött e-mail lehetséges mellékletei:
- Details.exe
- Document.exe
- Info.exe
- Information.exe
- Message.exe
-
teljes lista...
- Details.exe
- Document.exe
- Info.exe
- Information.exe
- Message.exe
- MoreInfo.exe
- Readme.exe
- text_document.exe
- Updates.exe
-
vissza...
|
|
Támadás az interneten
A féreg
megkísérel az alábbi webcímekre csatlakozni:
- http://64.12.212.12/in.php
- http://64.246.44.10/init.php
- http://68.24.54.122/in.php
- http://biiig.org/init.php
- http://blockism.net/img/ini.php
-
teljes lista...
- http://64.12.212.12/in.php
- http://64.246.44.10/init.php
- http://68.24.54.122/in.php
- http://biiig.org/init.php
- http://blockism.net/img/ini.php
- http://motivethree.com/img/in.php
- http://nine-one-one.ca/images/in.php
- http://paromy.ru/_old_img/in.php
- http://rescan.com/init.php
- http://sexyforum.ru/init.php
- http://talent2k.com/img/ini.php
- http://tovarisi.net/init.php
- http://www.cardgoods.com/img/ini.php
- http://www.evocreations.com/img/in.php
- http://www.ladywears.com/in.php
- http://zalala.net/init.php
-
vissza...
A féreg
a(z)
http://cardgoods.com/img/3.exe
webcímről kódot tölt le és hajt végre.
Hátsóajtó
A Win32/Bagle.BR féreg
a TCP
9030
porton nyit hátsóajtót.
A féreg
a(z)
http://cardgoods.com/img/ip.txt
fájlt tölti le a webről a háttérben.