Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Sality.NAE féreg
elnevezései az egyes vírusvédelmek szerint:
Avast
|
Win32:Sality-AB
|
AVG
|
Win32/Sality
|
BitDefender
|
Win32.Bagle.FK@mm
|
e-Trust
|
Win32/Sality.J
|
F-PROT
|
W32/Bagle.GJ@mm
|
F-Secure
|
Email-Worm.Win32.Bagle.fl
|
Ikarus
|
Email-Worm.Win32.Bagle.FR
|
Kaspersky
|
Email-Worm.Win32.Bagle.fl
|
McAfee
|
W32/Bagle.gen!Sality(Virus)
|
Microsoft
|
Win32/Sality.G
|
NOD32 (ESET)
|
Win32/Sality.NAE
|
Norton Antivirus
|
W32.Beagle.DN@mm
|
Panda
|
W32/Bagle.GT.worm
|
Rising Antivirus
|
Win32.Sality
|
Sophos
|
W32/Sality-I
|
Trend Micro
|
PE_SALITY.AE
|
VirusBuster
|
I-Worm.Bagle.GK
|
Telepítés:
A Win32/Sality.NAE féreg
a Windows mappában (alapértelmezés szerint C:\Windows) létrehozza
a(z)
regisp32.exe
nevű fájlt.
A Win32/Sality.NAE féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
az alábbi fájlokat:
- windspl.exe
- windspl.exeopen
- windspl.exeopenopen
- wmimgr32.dll
- windspl.exe
- windspl.exeopen
- windspl.exeopenopen
- wmimgr32.dll
A Win32/Sality.NAE féreg
a megosztott mappákban létrehozza
az alábbi fájlokat:
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- KAV 5.0
- Kaspersky Antivirus 5.0
-
teljes lista...
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Ahead Nero 7.exe
- KAV 5.0
- Kaspersky Antivirus 5.0
- Matrix 3 Revolution English Subtitles.exe
- Microsoft Office 2003 Crack, Working!.exe
- Microsoft Office XP working Crack, Keygen.exe
- Microsoft Windows XP, WinXP Crack, working Keygen.exe
- Opera 8 New!.exe
- Porno Screensaver.scr
- Porno pics arhive, xxx.exe
- Porno, sex, oral, anal cool, awesome!!.exe
- Serials.txt.exe
- WinAmp 5 Pro Keygen Crack Update.exe
- WinAmp 6 New!.exe
- Windown Longhorn Beta Leak.exe
- Windows Sourcecode update.doc.exe
- XXX hardcore images.exe
-
vissza...
A Win32/Sality.NAE féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "DsplObjects"="C:\WINDOWS\system32\windspl.exe"
- [HKEY_USERS\S-1-5-21-1757981266-1645522239-1417001333-1004\Software\Microsoft\Windows\CurrentVersion\Run] "DsplObjects"="C:\WINDOWS\system32\windspl.exe"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\regisp32.exe"="C:\WINDOWS\regisp32.exe:*:Enabled:ipsec"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\regisp32.exe"="C:\WINDOWS\regisp32.exe:*:Enabled:ipsec"
- [HKEY_USERS\S-1-5-21-1757981266-1645522239-1417001333-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\regisp32.exe"="regisp32"
-
teljes lista...
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "DsplObjects"="C:\WINDOWS\system32\windspl.exe"
- [HKEY_USERS\S-1-5-21-1757981266-1645522239-1417001333-1004\Software\Microsoft\Windows\CurrentVersion\Run] "DsplObjects"="C:\WINDOWS\system32\windspl.exe"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\regisp32.exe"="C:\WINDOWS\regisp32.exe:*:Enabled:ipsec"
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\regisp32.exe"="C:\WINDOWS\regisp32.exe:*:Enabled:ipsec"
- [HKEY_USERS\S-1-5-21-1757981266-1645522239-1417001333-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\regisp32.exe"="regisp32"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\system32\windspl.exe"="windspl"
- [HKEY_USERS\S-1-5-21-1757981266-1645522239-1417001333-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\system32\windspl.exe"="windspl"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\regisp32.exe"="regisp32"
-
vissza...
A Win32/Sality.NAE féreg
a rendszerleíró adatbázisból az alábbi bejegyzéseket törli:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "9XHtProtect"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "Antivirus"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "EasyAV"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "FirewallSvr"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "HtProtect"
-
teljes lista...
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "9XHtProtect"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "Antivirus"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "EasyAV"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "FirewallSvr"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "HtProtect"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "ICQNet"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "Jammer2nd"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "KasperskyAVEng"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "MsInfo"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "MyAV"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "NetDy"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "NortonAntivirusAV"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "PandaAVEngine"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "service"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "SkynetsRevenge"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "SpecialFirewallService"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "SysMonXP"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "TinyAV"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n] "ZoneLabsClientEx"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "9XHtProtect"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "Antivirus"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "EasyAV"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "FirewallSvr"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "HtProtect"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "ICQNet"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "Jammer2nd"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "KasperskyAVEng"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "MsInfo"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "MyAV"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "NetDy"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "NortonAntivirusAV"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "PandaAVEngine"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "service"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "SkynetsRevenge"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "SpecialFirewallService"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "SysMonXP"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "TinyAV"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n] "ZoneLabsClientEx"
-
vissza...
A Win32/Sality.NAE féreg
az alábbi mutexeket hozza létre:
- smtp_bagla_1000
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
-
teljes lista...
- smtp_bagla_1000
- 'D'r'o'p'p'e'd'S'k'y'N'e't'
- _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
- [SkyNet.cz]SystemsMutex
- AdmSkynetJklS003
- ____--->>>>U<<<<--____
- _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
- MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
-
vissza...
E-mail üzenetek
A Win32/Sality.NAE féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
A Win32/Sality.NAE féreg
az alábbi kiterjesztésű fájlokban keres e-mail címeket:
- adb
- asp
- cfg
- cgi
- dbx
- dhtm
- eml
- htm
- jsp
- mbx
- mdx
- mht
- mmf
- msg
- nch
- ods
- oft
- php
- pl
- sht
- shtm
- stm
- tbb
- txt
- uin
- wab
- wsh
- xls
- xml
-
vissza...
|
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- @avp.
- @foo
- @hotmail
- @iana
- @messagelab
- @microsoft
- @msn
- abuse
- admin
- anyone@
- bsd
- bugs@
- cafee
- certific
- contract@
- feste
- free-av
- f-secur
- gold-certs@
- google
- help@
- icrosoft
- info@
- kasp
- linux
- listserv
- local
- news
- nobody@
- noone@
- noreply
- ntivi
- panda
- pgp
- postmaster@
- rating@
- root@
- samples
- sopho
- spam
- support
- unix
- update
- winrar
- winzip
-
vissza...
|
Tárgy |
A levél lehetséges tárgyai:
- Gwd: Changes..
- Gwd: crypted document
- Gwd: Document
- Gwd: Fax Message
- Gwd: Forum notify
-
teljes lista...
- Gwd: Changes..
- Gwd: crypted document
- Gwd: Document
- Gwd: Fax Message
- Gwd: Forum notify
- Gwd: Hello :-)
- Gwd: Hi
- Gwd: Incoming message
- Gwd: Incoming Message
- Gwd: Incoming Msg
- Gwd: Message Notify
- Gwd: Msg reply
- Gwd: Notification
- Gwd: Protected message
- Gwd: Site changes
- Gwd: Text message
- Gwd: Thank you!
- Gwd: Thanks :)
- Gwd: Update
- Gwd: Yahoo!!!
-
vissza...
|
Melléklet |
A féreg
által elküldött e-mailben szereplő melléklet nevének első részét az alábbi szavakból állítja össze:
- Common
- Details
- fuck_her
- Info
- MoreInfo
- Message
- XXX_livebabes
- XXX_PornoUpdates
- xxxporno
- www.cumonherface
-
vissza...
A féreg
által elküldött e-mailben szereplő melléklet nevének második részét véletlenszerű karakterekből állítja össze.
A féreg
által elküldött e-mailben szereplő melléklet nevének harmadik részét az alábbi szavakból állítja össze:
A féreg
által elküldött e-mailben szereplő melléklet nevének negyedik részét az alábbi szavakból állítja össze:
|
|
Támadás az interneten
A féreg
megkísérel az alábbi webcímekre csatlakozni:
- debut.zoo.com
- dook.zoo.by
- ijj.t235.com
- ijj.t35.com
- myphotokool.t235.com
- noshit.fateback.com
- debut.zoo.com
- dook.zoo.by
- ijj.t235.com
- ijj.t35.com
- myphotokool.t235.com
- noshit.fateback.com
Hátsóajtó
A Win32/Sality.NAE féreg
a TCP
6777
porton nyit hátsóajtót.