Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Dumaru.T féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Dumaru-A-FSG
Win32:Dumaru-AL
|
AVG
|
I-Worm/Dumaru.AA
I-Worm/Dumaru.AG
|
BitDefender
|
Generic.Dumaru.EFE9E317
Win32.Dumaru.AA@mm
|
e-Trust
|
Win32/Bambo!generic
|
F-PROT
|
W32/Dumaru.AC@mm
|
F-Secure
|
Email-Worm.Win32.Dumaru.q
Email-Worm.Win32.Dumaru.t
|
Ikarus
|
Trojan-Downloader.Win32.Banload.ams
|
Kaspersky
|
Email-Worm.Win32.Dumaru.q
Email-Worm.Win32.Dumaru.t
|
McAfee
|
W32/Dumaru.ad@MM(Virus)
|
Microsoft
|
Win32/Dumador.U
Win32/Zmist.D.dr
|
NOD32 (ESET)
|
Win32/Dumaru.T
|
Panda
|
W32/Dumaru.AA.worm
W32/Dumaru.L.worm
|
Rising Antivirus
|
Worm.Dumaru.l
|
Sophos
|
W32/Dumaru-AI
|
Trend Micro
|
WORM_DUMARU.GEN
|
VirusBuster
|
I-Worm.Dumaru.AK
|
Telepítés:
A féreg
a saját kódjának telepítése során az alábbi ablako(ka)t jeleníti meg a képernyőn:
|
A féreg
az alábbi fájlokat hozza létre:
A Windows mappában (alapértelmezés szerint C:\Windows):
A Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32):
A Windows Startup mappájában:
1111b.exe
A merevlemez(ek) főkönyvtárában:
nload.exe
A Win32/Dumaru.T féreg
az ideiglenes (Temp) mappában létrehozhatja
a(z)
photo.jpg
nevű fájlt.
|
A féreg
kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:
|
A Win32/Dumaru.T féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load32"="C:\WINDOWS\System32\1111a.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe C:\WINDOWS\System32\1111c.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load32"="C:\WINDOWS\System32\1111a.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe C:\WINDOWS\System32\1111c.exe"
|
A Win32/Dumaru.T féreg
a C:\Windows\System.ini fájl [boot] szekciójába a(z)
shell=explorer.exe C:\Windows\System32\1111c.exe
bejegyzést teszi.
E-mail üzenetek
A Win32/Dumaru.T féreg
a terjedése érdekében HTML formátumú e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Dumaru.T féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- .htm
- .wab
- .html
- .asp
- .txt
- .dbx
- .tbb
- .abd
-
vissza...
A Win32/Dumaru.T féreg
az üzenetek elküldéséhez saját smtp-motort használ.
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
Az e-mail feladója
address@yandex.ru
.
|
Tárgy |
A levél lehetséges tárgyai:
- gold
- Storm
- e-metal
- WebMoney
- WM Keeper
- Keeper
- Fethard
- fethard
- bull
- Bull
- mull
- PayPal
- Bank
- bank
- cash
- ebay
-
vissza...
|
Melléklet |
A féreg
által küldött e-mail üzenet melléklete
document.zip
.
A féreg
által elküldött e-mailben
myphoto.jpg
a .ZIP kiterjesztésű mellékletében lapuló fájl.
|
|
Hátsóajtó
A(z)
_sars_@list.ru
e-mail címre értesítést küld, ha sikerült megnyitnia a hátsóajtót. Erre a címre elküldi a számítógépről összegyűjtött információkat is.